Guia Segurança

verificação de e-mail

Quando habilitado, após a criação de uma nova conta de cliente ou mudança de endereço de e-mail, um e-mail é enviado para o endereço de e-mail fornecido, pedindo ao usuário que confirme que pretendia se registrar ou fazer a mudança de endereço de e-mail. Mais detalhes estão disponíveis aqui .

Captcha Form Protection

Também conhecido como verificação de imagem; Mostra uma imagem que contém letras e números que somente os humanos podem ler nas páginas de envio, registro e controle de mensagens do ticket para ajudar a prevenir envios automatizados e spam. Você pode selecionar se a verificação da imagem nunca é exibida, sempre exibida ou exibida apenas para os visitantes.

Tipo Captcha

Padrão Requer GD2 no seu servidor. Mostra uma imagem contendo 5 caracteres em um fundo azul despojado, nenhuma configuração adicional é necessária. ReCAPTCHA usa o serviço reCAPTCHA [1] do Google Você precisará se registrar para um conjunto de chaves para usar este serviço, isso pode ser feito aqui . Depois de ter suas chaves, você pode inseri-las nas caixas apropriadas nesta guia. Existem algumas configurações adicionais que podem ser feitas usando a opção reCAPTCHA, veja reCAPTCHA para obter mais detalhes.

Obrigatório Senha Força

Defina para 0 para desativar o verificador de força da senha no formulário de pedido. Certifique-se de que seus clientes inserem senhas fortes, configurando isso para 50; Use um número maior para forçar senhas de área de cliente ainda mais seguras.

Para uma força de senha de 90, o usuário precisaria inserir pelo menos 3 números, 2 letras minúsculas e 3 maiúsculas e 3 caracteres especiais. Informações mais detalhadas podem ser encontradas através da revisão do arquivo /assets/js/PasswordStrength.js.

Hora de transferência de login de administrador falha

Defina para 0 para desativar o recurso de proibição de login. Se alguém fizer 3 tentativas incorretas de login no administrador do WHMCS, este é o tempo em minutos antes de tentar fazer o login novamente (proteção de ataque do dicionário). Como desabafar seu IP se ele for bloqueado.

IPs listados na lista branca

Os endereços IP listados aqui nunca serão proibidos de acessar a área de administração devido a falhas de login. Por exemplo, você pode querer adicionar o endereço IP do seu escritório.

Admin Force SSL Access

Quando desmarcado, a área de administração pode ser acessada através de conexões http e https. Ao marcar essa opção, todas as conexões usam https para aumentar a segurança.

Desabilitar a reinicialização da senha do administrador

Quando marcado, isso desativará o link Senha esquecida na sua página de login do administrador. Isso substitui qualquer método anterior de desabilitar esta opção. 
Como redefinir a senha de administrador com esta opção desabilitada.

Desativar armazenamento de cartão de crédito

Por padrão, o número do cartão de crédito do cliente é criptografado e armazenado em seu banco de dados. A ativação desta opção significa que o número não será armazenado e os clientes precisarão inserir novamente seu número para cada fatura paga.

Nota

Se as informações do cartão de crédito estiverem armazenadas no seu banco de dados do WHMCS, esta opção apagará todos os detalhes do cartão de crédito existentes do sistema, incluindo o ID do gateway (usado pelos gateways do tokanisation).

Nota A
ativação desta opção impedirá que os seguintes módulos de gateway do tokanisation funcionem:

Pode ser ativado sem impacto negativo nos seguintes módulos de gateway tokanisation :

Permitir aos clientes CC Eliminar

Quando descompactos, apenas os administradores podem remover os detalhes do cartão de crédito da conta do cliente. Quando marcado, uma opção aparecerá na área do cliente para o mesmo.

Disable Session IP Check

Isso é usado para proteger contra o seqüestro de cookies / sessão e, idealmente, deve permanecer desmarcado. No entanto, isso pode causar problemas para usuários com IP dinâmicos ou usando dispositivos móveis (iPhones etc), portanto, podem ser desativados marcando a caixa de seleção.

Permitir Smarty PHP Tags

O uso de tags {php} é depreciado no WHMCS v6 e acima, mas o suporte herdado pode ser ativado aqui durante um período de transição. Recomendamos manter esta opção desativada, a menos que seja especificamente exigido. Para obter mais informações, consulte Modelos e Lógica PHP personalizada .

Configurações de proxy confiáveis

A configuração Confiáveis ​​Confiáveis ​​permite que você detalhe os endereços IP ou os intervalos de IP para proxies ou outros serviços de encaminhamento para que WHMCS possa determinar com precisão o endereço IP do tráfego de entrada.

Você pode achar necessário utilizar as configurações do Proxy Confiável se a instalação do WHMCS:

  • Está atrás de um proxy que você controla
  • Está por trás de um balanceador de carga ou firewall que modifica pedidos HTTP
  • Recebe pedidos HTTP de um proxy ou serviço de proteção DDOS, como CloudFlare, BlackLotus, etc.
  • Está por trás de toda a infra-estrutura que tem a responsabilidade de modificar as informações da camada de link de uma solicitação.

Esses tipos de configurações de implantação alteram o valor do endereço IP de origem para o seu próprio IP. Este é um comportamento esperado, pois faz parte de especificações de rede padrão. Infelizmente há um efeito colateral; Isso faz com que pareça como se seus logins de clientes, logins de administração e pedidos sejam todos provenientes do proxy em vez da localização real. Quando isso acontece, a localização é mascarada da sua inspeção, seja para registro, autorização de acesso, detecção de fraude ou qualquer outro propósito relacionado ao IP. Para contrariar isso, os detalhes de seu serviço de proxy podem ser inseridos nesses campos. Leitura adicional >>

Usuários
do Cloudflare Alguns dos recursos do Cloudflare não são compatíveis com o WHMCS. Certifique-se de que tanto o Script Minimization quanto o Rocket Loader estão desativados para o domínio no qual o WHMCS está instalado.

Cabeçalho IP Proxy

O campo Cabeçalho Proxy permite que você configure o cabeçalho HTTP WHMCS usará para descobrir qual endereço IP é o endereço IP autorizado para a solicitação.

A maioria das proxies usa "X_FORWARDED_FOR" e, portanto, o campo pode ser deixado em branco. Apenas altere esse valor se você tiver certeza de que seu proxy usa um cabeçalho diferente, pois colocar o cabeçalho errado neste campo pode causar uma gravação incorreta de endereços IP.

Proxies Confiáveis

Amostra de Proxies Confiáveis
Utilize este campo para adicionar e remover endereços IP e intervalos CIDR de endereço IP de proxies confiáveis. O WHMCS verificará o cabeçalho configurado para descobrir o endereço IP do pedido canônico real.

Restrição de acesso IP API

Avançado. Se estiver usando a API WHMCS a partir de uma localização fora do servidor, você deve especificar o endereço IP aqui, caso contrário, o acesso será negado.

Autenticação da API Log

Por padrão, as autenticações bem-sucedidas feitas através da API não são gravadas, mas assinalar esta opção irá gravá-las com as autenticações da área de administração em Utilitários> Logs> Log Admin. Isso pode ser útil para registrar logins de sua equipe usando nossos aplicativos para dispositivos móveis.

Toks CSRF

Esse recurso de segurança adicional evita que os visitantes mal-intencionados iniciem mensagens de formulário do site para tentar acessar partes do software que não devem. Esta opção está definida como "Ativado" por padrão e recomendamos mantê-la, a menos que seja especificamente recomendada de outra forma por um membro da equipe do WHMCS.

Tokens CSRF: Verificador de domínio

Por padrão, tokens CSRF estão desativados para o verificador de domínio. Isso permite que você envie informações de domínio para o WHMCS a partir de uma página externa. Por exemplo. Usando o Domain Checker Integration Code no seu site.

No entanto, se você não estiver usando o código de integração, você pode habilitar esta opção e os visitantes só poderão usar as páginas de verificador de domínio incorporadas.

  • verificação de e-mail Quando habilitado, após a criação de uma nova conta de cliente ou mudança de endere, pedindo ao usuário que confirme que pretendia se registrar ou fa, um e-mail é enviado para o endereço de e-mail fornecido, registro e controle de mensagens do ticket para ajudar a preveni, sempre exibida ou exibida apenas para os visitantes. Tipo Captc, nenhuma configuração adicional é necessária. ReCAPTCHA usa o ser, isso pode ser feito aqui . Depois de ter suas chaves, você pode inseri-las nas caixas apropriadas nesta guia. Existem , veja reCAPTCHA para obter mais detalhes. Obrigatório Senha Forç, configurando isso para 50; Use um número maior para forçar senha, o usuário precisaria inserir pelo menos 3 números, este é o tempo em minutos antes de tentar fazer o login novament, 2 letras minúsculas e 3 maiúsculas e 3 caracteres especiais. Inf, você pode querer adicionar o endereço IP do seu escritório. Adm, a área de administração pode ser acessada através de conexões ht, todas as conexões usam https para aumentar a segurança. Desabil
  • 0 Usuários acharam útil
Esta resposta lhe foi útil?

Artigos Relacionados

Guia geral

URL do sistema WHMCS Esta configuração define o URL no qual a sua instalação WHMCS será acessada...

Guia de localização

System Charset Deixe o valor padrão UTF-8, a menos que seu idioma contenha caracteres não...

Guia de pedidos

Order Days Grace Você pode conceder aos seus clientes um período de carência para fazer seu...

Guia Domínios

Pesquisa de domínio O WHMCS atualmente suporta dois provedores de pesquisa de domínio para...

Guia de correio

Tipo de correio Escolha como os e-mails são enviados pela sua instalação: Use a função de...