اسکریپت freer یکی از بهترین اسکریپت ها برای فروش اکانت های مختلف , کارت شارژ و … می باشد .تقریبا میتوان گفت بالای %70 وب سایت هایی که در این رابطه کار میکنند , این اسکریپت را نصب و استفاده مینمایند .

اما این اسکریپت دارای باگ های بسیار زیادی می باشد که با یک جستجوی کوچک در اینترنت میتوانید سیل زیادی از نارضایتی مدیران این وب سایت ها رو مشاهده فرمایید .

این اسکریپت به دلیل بی رقیب بودنش در بین اسکریپت های فارسی همچنان مورد استقبال قرار میگیرد . طبیعتا اسکریپت بسیار قوی هم میباشد که شما عزیزان میتوانید با آموزش هایی که در ادامه نوشته شده است , امنیت این اسکریپت را بالا برده و با خیال راحت از آن استفاده نمایید .

1 – حتما از آخرین نسخه اسکریپت freer استفاده نمایید .

2 – به وب سایت phpencode.org رفته و محتویات فایل configuration.php ( درون پوشه include ) را به این وب سایت داده و کد گذاری کنید . سپس نوشته های کد شده را جایگذین نمایید .

نکته : بدیهی است که همیشه باید یک کپی غیر کدگذاری شده از این فایل را در کامپیوتر خود نگاه دارید .

3 – حق دسترسی فایل configuration.php درون پوشه include را به 400 تغییر دهید .

4 – نام پوشه ی back که برای ورود به مدیریت میباشد را به نامی دیگر تغییر دهید ( مثلا vms )

5 – با استفاده از ویژگی Password Protect Directories درون کنترل پنل هاست , یک نام کاربری و رمز عبور مضاعف بر روی پوشه ی مدیریت خود قرار دهید .

6 – با مطالعه این پست , از نفوذ به headers در امان بمایند .

7 – در داخل فایل htaccess روت اصلی کد زیر را اضافه نمایید .

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^ /index.php [L]

8 – حق دسترسی پوشه اصلی ( public_html ) را به 555 تغییر دهید .

9 – در درون پوشه های include و plugin یک فایل htaccess بسازید و نوشته ی زیر را به آن اضافه نمایید :

deny from all

10 – حق دسترسی تمام فایل های htaccess را به 444 تغییر دهید .

11 – و در آخر برسیم به مهمترین کار که شما می بایست به فایل back/template/footer.php رفته و کد زیر را از آن حذف نمایید . این کد اخبار فریر میباشد که به تازگی مورد هجوم هکر ها قرار گرفته است …

<?
if (check_login())	{
	$news = @file_get_contents('http://freer.ir/xml.php?'.$server[HTTP_HOST]);
	$news = xml2array($news,0);
	if ($news)
		foreach ($news[rss][channel][item] as $detail)
		{
			$body .= '<li><a href="'.$detail[link].'" target="_blank">'.$detail[title].'</li>';
		}
?>
			<strong class="h">اخبار</strong>
			<div class="box">
				<ul>
					<?=$body?>
				</ul>
			</div>
<?	}	?>

آموزش : وحید مجیدی

پخش اختصاصی

به صورت خیلی ساده , header مجموعه اطلاعات فنی میباشد که با تغییر صفحات , ارسال فایل , ثبت نام , ورود و … بین Client و Server ارسال و دریافت می شود .

این اطلاعات به صورت پیشفرض توسط کاربران قابل مشاهده نیست اما یک هکر به راحتی با افزونه هایی که روی مرورگر ها نصب میشود میتواند به آن دسترسی داشته باشد و در اطلاعات آن دستکاری کند و باعث خرابکاری شود .

در این پست سعی میکنم راه های جلوگیری از این نوع دستکاری ها رو در Htaccess آموزش دهم .

شما میبایست کد های زیر را در فایل Htaccess وب سایت خود قرار دهید .

اگر htaccess نمیدانید چیست , به این لینک مراجعه فرمایید .

<ifModule mod_headers.c>
  Header set header_name "header_value"
</ifModule>
<ifModule ModSecurity.c>
  SecServerSignature ''
</ifModule>
Header set X-Content-Security-Policy "default-src 'self'; img-src 'self'; style-src 'self' 'unsafe-inline'; font-src 'self'; script-src 'self' 'unsafe-inline'; connect-src 'self';"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Security-Policy "allow 'self';"
Header set X-Content-Type-Options "nosniff"
Header set X-Permitted-Cross-Domain-Policies "none"
Header set X-Frame-Options "DENY"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header unset X-Powered-By

آموزش : وحید مجیدی

پخش اختصاصی