WHMCS 安全设置交流贴

最近在玩WHMCS,毕竟是准备好好干的,所以看了一下WHMCS的官方文档,以下是我的总结:
欢迎友善交流哈,感谢

保护目录(有可写权限就可以)
在非www目录外新建一个文件夹用于存放attachments, downloads, templates_c, 比如:
/home/mydomain.com/whmcsdata/downloads
/home/mydomain.com/whmcsdata/attachments
/home/mydomain.com/whmcsdata/templates_c
在Configuration> System Settings > Storage Settings中添加上述的路径,并且将attachments, downloads切换到新建的路径中
修改configuration.php,并添加或修改来指定templates_c新位置的路径：
$templates_compiledir = "/home/mydomain.com/whmcsdata/templates_c/";
将crons目录移动到/home/mydomain.com/whmcsdata/crons/
修改crons 目录中的 config.php 文件，提供WHMCS 安装的完整路径.
$whmcspath = '/home/mydomain.com/public_html/';
修改configuration.php,提供crons新的路径
$crons_dir = '/home/mydomain.com/whmcsdata/crons/';
如果是在Cpanel中自带的程序安装WHMCS,上述操作可以直接在安装时选择

将configuration.php设置成400权限
当配置完成后,将configuration.php设置成400权限,提供了只读访问权限，并防止其他任何人读取、编辑或执行文件

修改后台登入默认路径
将admin目录改名为newadmin
configuration.php的最后添加下面代码(在?>之前添加,如果有的话)
$customadminpath = "newadmin";
如果是在Cpanel中自带的程序安装WHMCS,上述操作可以直接在安装时选择

修改MySQL数据库的访问权限
大多数任务只需要以下数据库权限：

DELETE
INSERT
SELECT
UPDATE
LOCK TABLES
安装、升级以及激活和停用模块需要以下附加权限：所以平时可以禁用这些权限

ALTER
CREATE
DROP
INDEX
在Cpanel面板下直接点击MySQL Databases找到Privileged Users下的用户名,点击后修改权限

启用https
在General Settings中General的,将WHMCS System URL改成https
当然Cpanel中也要启用

限制访问vendor文件夹
如果某个目录受此保护，那么如果您网站前端的某个人试图访问该文件，系统会提示他们提供用户名和密码
Cpanel面板中选择Directory Privacy,找到WHMCS的vendor文件夹,选择编辑,勾选"Password protect this directory."
输入一个名字(此名字只是一个标签),点击确认后创建一个账号用于访问加密的文件夹

宝塔貌似是可以访问的,Cpanel貌似不必设置,默认不可访问

开启必要的验证码
在General Settings中Security,建议把Captcha Type改成reCAPTCHA v2或者Invisible reCAPTCHA
并且把Email Verification也打开了

限制IP访问
这个我没干啊,不是很方便哈~~

其他服务器安全优化
我直接用Cpnael面板的虚拟主机了,安全交给他们吧,他们比我专业,自己干的可以参考以下文章
https://owasp.org/www-community/attacks/Clickjacking
https://docs.cpanel.net/knowledge-base/security/security-best-practices/
https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration

参考原文:https://docs.whmcs.com/Further_Security_Steps