对于许多供应商来说,WHMCS 是他们的掌上明珠:所有客户信息、支付机制和网关、配置链接和管理密钥等等都在那里。
WHMCS系统被黑客入侵是他们最害怕的事情。一旦系统被攻破,攻击者可以……
- 出售客户名单,向名单上的客户推销产品,毁掉你的声誉
- 更改或销毁 WHMCS 管理链接的所有系统(即您的主机和虚拟机)。
- 了解公司的组织结构——例如,谁是管理员。
- 泄露你的票务信息,让你难堪。
- 通过获取客户的所有个人信息,损害客户的利益。例如,一些服务提供商要求提供带照片的身份证明才能开通服务,而这通常以 WHMCS 附件的形式提交。
- 即使WHMCS渗透过程中没有直接采取任何行动,这些信息也可以被利用。例如,当有人掌握大量信息时,社交攻击就容易得多。
等等等等,还有很多其他的。那么,你该如何保护自己呢?
赶紧离开 WHMCS
所以我们先把这个问题解决掉,因为喷子们肯定会提起它。
是的,您可以迁移出 WHMCS,这样您的 WHMCS 就永远不会被黑客攻击了。
但说真的……首先,你得运行一些东西,而这些东西也存在同样的风险。
其次,迁移CRM系统并非易事!作为客户,我对此零容忍。别让我重新注册,也别让我读什么知识库文章。作为客户,我不喜欢任何繁琐的操作,而你们的职责就是减少这些操作。
好的,所以你决定继续使用 WHMCS。接下来该怎么做呢?首先,我们来了解一些基础知识。
补丁/升级:保持您的系统更新。您付费购买了维护服务,所以请充分利用!别因为 WHMCS 两个版本前就已修复的漏洞而被黑客攻击。请记住,WHMCS 一直在修复漏洞。即使最新补丁没有提及安全方面的内容,也不代表 WHMCS 没有修复任何已发现或尚未被发现的问题。
备份:备份虽然无法阻止数据在遭受黑客攻击时丢失,但至少可以确保您自己仍然拥有一份备份。此外,备份还能在服务器故障、管理员失误和程序漏洞等非黑客攻击问题发生时提供保护。专业提示:在需要之前,不妨现在就尝试恢复数据。
选择强密码并定期更改:第一点显而易见。第二点,如果团队中有管理员离职,请务必更改密码。
现在这些都完成了,接下来是一些更高级的技巧
更改管理员位置:不要将管理员地址设置为 www.example.com/whcms/admin。选择其他地址,理想情况下是随机字母字符串或 UUID。即使是“staffonly”也比 'staffonly' 好。您肯定不希望出现新的 WHMCS 零日漏洞,导致您的 WHMCS 管理员系统被自动扫描和攻击。没错,这在某种程度上是“隐蔽式安全”,但它确实可以减少您遭受的攻击次数,所以这是一件好事。
使用多因素身份验证 (MFA/2FA):没错,ZRneENePy8@qx4L*xLab8x!M8bB2J*K4 的确是个很棒的密码,但如果我能通过键盘嗅探器读取你输入的所有内容,那它就不再是个好密码了。在 2026 年,双因素身份验证是基本要求。
避免使用第三方模板和模块:虽然有一些优秀的模板开发者能让 WHMCS 界面美观,也有一些模块可以让 WHMCS 实现几乎任何你想要的功能,但请注意,安装第三方代码就相当于将你的企业安全托付给了发布者。不信? 看看这篇文章。
考虑一下WAF: Web应用程序防火墙位于WHMCS和Web浏览器之间,负责过滤进出的数据。WAF可以过滤HTTP请求的类型和请求体。也许根本没有理由向某个特定的URL发送POST请求,或者向另一个URL提交某些数据,又或者请求一个路径中包含大量控制字符的URL。我引用一下ZHUJIMAO.COM的传奇人物@FatGrizzly的话:
Cloudflare Pro 很有帮助(免费版也可以,但 Advin 发现免费版无法阻止几个月前在他测试中发生的 Lagom 攻击。)
您还可以使用 modsecurity(owasp 可能对 whmcs 来说太严格了,可以试试 comodo),阻止传入的 post 请求,使用“< 问号 ph p”忽略空格并替换单词,被 cf 触发也可能有所帮助。
WHMCS 非常重要,必须高度重视安全问题。您还有其他建议吗?
