Основы безопасности
iEXExchanger настроен с учетом лучших практик безопасности, но есть несколько вещей, которые вы должны использовать, чтобы злоумышленники не могли обойти эти средства защиты.
Зачастую владельцы обменных сервисов недооценивают вопрос безопасности, свою ответственность и поэтому часто становятся жертвами взломщиков.
Единственный человек который несет ответственность за средства которые имеются на счетах и ее целостность - это владелец обменного пункта.
В последнее время мошенники начинают писать во все мессенджеры, сообщают о взломах, предлагают помощь, также начинают DDOS атаки.
Проигнорируйте, очистите чат, не включайтесь даже в диалог.
Внимание!!!
Обязательно защитите ваш сервер двухфакторным ключём, установить очень сложный пароль.
Защитите рабочие telegram аккаунты двухфакторным ключём, не авторизуйтесь на сторонних сервисах используя рабочий аккаунт.
Не открывайте никакие ссылки, если они приходят на E-mail.
Не устанавливайте расширения в браузере.
Когда выдаете доступ к серверу разработчикам скрипта в telegram для решения каких либо задач, ОБЯЗАТЕЛЬНО УДАЛИТЕ ДАННЫЕ ЧЕРЕЗ 2 МИН И СМЕНИТЕ ПАРОЛЬ, чтобы избежать взломов
Мы настоятельно рекомендуем настроить все опции, которые мы предоставили, для максимальной защиты вашего сервера и панели администрирования.
Один из основных пунктов это: Установка сложных паролей для доступа к платежным шлюзам, к панели управления и к серверу.
Пароли должны быть уникальными
Для Telegram, установите сложный пароль и облачный пароль, чтобы защитить учетную запись.
Для сервера используйте отдельный e-mail аккаунт
Безопасность сайта - ваша забота, а мы поможем
Не предоставляйте доступ в панель управления посторонним пользователям без острой на то необходимости. Для таких целей создавайте отдельную учетную запись и выдайте временные права администратора и не забывайте удалять ее потом.
Администраторы часто получают по почте сообщения с вложенными файлами в которых могут содержаться вирусы. Никогда не открывайте файлы, если они присланы с незнакомых адресов
Добавьте на рабочих стол 2 важные виджеты чтобы контролировать действия. Для добавление в панели управления нажмите кнопку "Добавить виджет", и в списке выберите "Пользователь в панели управления" и "Статистика пользователей".
Используйте надежные пароли для пользователей, имеющих доступ в панель управления.
Обеспечьте надежность хранения администраторских паролей, паролей доступа по FTP. (Предпочтительно использование SFTP/SCP)
Google Authenticator
Одноразовые пароли значительно усиливают систему безопасности вашего сайта. Используйте приложение Google Authenticator, для дополнительной защиты.
Путь к панели управления
Настоятельно рекомендуем изменить стандартный путь к панели администрирования на индивидуальный.
Ограничения по IP адресу
На текущий момент, доступно несколько способов для настройки доступа к панели управления по IP адресу. Рекомендуем включить обе.
Группы
Очень важно настроить правильно роли для пользователей, чтобы у каждого были ограниченные права.
Google Captcha
Настоятельно рекомендуем настроить google captcha для авторизации в панель управления, чтобы улучшить безопаcность.
CSP Защита
Рекомендуем обязательно включить функцию CSP, для того чтобы исключить нежелательные подключения.
Cloudflare WAF
Если домен подключен к Cloudflare, рекомендуем добавить правила, для того чтобы доступ к панели управления было исключительно по белому списку.
Коды безопасности
Для автовыплат, рекомендуем в обязательном порядке настроить возможность ввода кода безопасности.
Fail2Ban
Для защиты SSH рекомендуем перейти по ссылке ниже и следовать инструкции.
Для установки fail2ban, лучше довериться специалистам, и попросите установить службе поддержки вашего сервера.
Остальные меры безопасности
Для того чтобы дополнительно усилить защиту панели управления, выполните действия ниже:
В панели управления, откройте раздел "Настройки - Настройки скрипта",
во вкладке "Безопасность":
Найдите "Контроль изменения IP адреса" и выберите "Средний уровень"
Найдите "Сбрасывать ключ авторизации при каждом входе?" и включите.
Уведомления
Перед тем как включить уведомления, убедитесь что у вас настроек Службы Telegram и E-mail службы
В панели управления, откройте раздел "Настройки - Настройки скрипта", нажмите на заголовок "Настройки продукта" и выберите Службы Telegram.
Во вкладке "Уведомление", включите "Включить уведомление в Telegram"
Если все правильно настроено, при каждом входе в панель администрирования, в Telegram будут приходить уведомления.
Заголовки для Nginx
На сервере fastpanel, в разделе "Ручная настройка", добавьте несколько заголовков после location / {
Рекомендации BestChange
Обязательно ознакомьтесь с условиями безопасности от администрации BestChange
Вопросы и Ответы
Как не стать жертвой мошенников?
Рекомендуем прочитать все пункты этих условий, так как они очень помогут вам не попасться в руки мошенников
Если вдруг нашли сервис где лицензия на скрипт продается по цене ниже чем на официальном сайте, знайте что это мошенники.
Если от нашего имени начнут писать вам сообщения о предложении по покупке скрипта, это мошенники.
Наши официальный контакты:
Если после небольшой DDOS на сайт, начнут писать сообщения по типу "Сервис подвержен атакам по уровню A1/L7, Некоторые переменные не имеют валидации"..., просто проигнорируйте подобные сообщения, и если у вас не установлена защита от DDOS, рекомендуем ее поставить (StormWall - хорошо себя зарекомендовал)
Купить лицензию на скрипт можно только на официальном сайте, оплата также проходит только там. (Крайне не рекомендуем вам связываться с персонажами которые якобы продают по низкой цене - это мошенники).
Как защитить учетные записи в платежных системах?
Автовыплаты вы включаете на свой страх и риск. iEXExchanger не несет ответственность за сохранность ваших средств на счетах платежных систем, хотя разработчики скрипта сделали все возможное, чтобы защитить их.
Не рекомендуется активировать автовыплаты без необходимости.
Активные автовыплаты увеличивают риск потери ваших средств в той или иной платежной системе в случае взлома сайта или сервера, где расположен ваш обменник.
В процессе настройки авто-выплат следует быть внимательными. Если не выполнить хотя бы один из пунктов инструкции, то авто выплаты работать будет не корректно. Особое внимание стоит уделить API ключам и их сохранности. Утечка данной информации может навредить вашему обменнику.
Last updated