Владелец обменного пункта единственный человек, который несет ответственность за сохранность денежных средств на счетах и за целостность данных. Приложите максимум усилий, чтобы обезопасить ваш сайт.
Ниже представлены основы безопасности, которые необходимо соблюдать при работе с обменным пунктом.
Общие меры безопасности
Настоятельно рекомендуем придерживаться следующих правил безопасности при работе с системой:
Используйте сложные пароли (не менее 15-25 символов) для доступа в платежные системы, панель управления обменником, хостингом и базы данных. Используйте для каждого сайта уникальный пароль;
Пользуйтесь только лицензионным антивирусом. Например антивирус Касперский.
Регулярно производите обновление обменного пункта и WordPress.Мы производим официальную рассылку о выходе обновлений, также в панели управления сайтом вы увидите предупреждающий знак о доступном обновление;
Администратор сайта должен работать в безопасном окружении и выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файрволлом);
По умолчанию в системе отключена функция загрузки и редактирования сторонних плагинов и тем. Данное ограничение позволяет свести к минимуму риски вредоносного изменения системных файлов. Настоятельно рекомендуем отключать данную защиту в случае крайней необходимости и не забывать включать ее после завершения работ;
Не отправляйте данные доступа к панели управления сайтом и сервера через мессенджеры, например Skype, Viber и т.п. Если вы отправляете такие данные через мессенджеры, то не забывайте удалять такие сообщения и менять пароли потом.
Как не стать жертвой мошенника?
В связи с участившимися случаями разного рода мошенничества, обращаем ваше внимание:
Мы категорически не рекомендуем покупать якобы лицензионные продукты на сторонних сайтах, т.к. лицензионные и безопасные продукт можно приобрести только на наших официальных сайтах Best-Curs.info и PremiumExchanger.com. У нас нет партнеров по продаже наших продуктов. На сторонних сайтах продаются продукты, в которые продавцы-мошенник интегрировали возможность удаленного управления сайтом, подмены реквизитов и просмотра данных мерчантов. Не доверяйте управления вашими деньги кому попало. Используйте только лицензионную продукцию, чтобы обезопасить ваши деньги и сохранить репутацию;
Мы никогда не просим отправить нам обратно копию продуктов для устранения уязвимости;
Не продавайте копии продуктов третьим лицам — это может навредить работоспособности вашего сайта, противоречит лицензионному соглашению и в некоторых случаях может способствовать несанкционированному списанию ваших денег. Продукты имеют привязку к домену, поэтому третьи лица не смогут ими воспользоваться. Предложения о покупке копии продуктов присылают МОШЕННИКИ;
Мы не делаем рассылку с обновлениями продуктов по электронной почте. Наши рассылки носят информационный характер, которые сообщают вам выходе обновления. Доступные обновления продуктов вы можете скачать только в вашем личном кабинете;
Администраторам обменников злоумышленники часто отправляют письма с вложенными файлами (архивы, pdf и doc файл, картинки и т.п.), которые содержат в себе вирусы и трояны. Не открывайте такие вложения без крайней необходимости. Проверяйте вложения антивирусом;
Приобрести продукты, модули, мерчанты вы можете только через наши официальные сайты. Мы не осуществляем продажу продуктов через icq, skype, электронную почту и т.п. Остерегайтесь мошенников, которые предлагают вам приобрести продукты через сомнительные каналы связи и дешевле.
Как обезопасить панель управления обменником ?
Если взломать панель управления сайта, то можно управлять курсами обмена и реквизитами обменного пункта для ручного обмена.
Чтобы обезопасить панель управления сайта и учетную запись администратора рекомендуем выполнить следующие шаги:
Смените стандартный пароль доступа администратора в панель управления обменным пунктом при первом знакомстве с системой;
Не используйте стандартные логины (admin, superadmin, superboss и т.п.) для администратора сайта. Создайте администратора с уникальным и сложным логином, а старую учетную запись администратора удалите.
Установите ограничение доступа по IP и/или логину/паролю к панели управления обменным пунктом (директория /wp-admin/). Техническая поддержка хостинг провайдера поможет вам это сделать;
В панели управления сайтом в разделе Настройки сообщений → E-mail шаблоны → настройте шаблоны "Уведомить о входе пользователя в ЛК" и "Авторизация по одноразовой ссылке". В панели управления сайтом в разделе Пользователи найдите учетную запись администратора и перейдите к ее редактированию. Установите "Да" для параметров "Уведомление на e-mail при авторизации" и "Авторизация по одноразовой ссылке". Данные настройки необходимо включить для всех пользователей, у которых есть доступ в панель управления. Каждый раз при авторизации в панели управления администратор будет получать на e-mail одноразовую ссылку для входа в панель управления. Также администратор будет получать уведомление на e-mail об успешной авторизации в панели управления;
Каждый администратор сайта в настройках своего профиля должен использовать почтовый ящик с активной функцией смс подтверждения авторизации. Например такие сервисы как gmail или mail.ru поддерживают функцию смс авторизацию;
Рекомендуем не сохранять в браузере логины и пароли;
Не предоставляйте доступ в панель управления обменником посторонним пользователям без острой на то необходимости. Для таких целей создавайте отдельную учетную запись администратора и не забывайте удалять ее после;
Не используйте сторонние плагины для WordPress. По статистике, уязвимости находят именно в некачественных плагинах.
Как защитить сервер?
Если взломать сервер, то можно украсть все деньги с тех платежных систем, которые подключены к обменному пункту по средствам API интерфейсов.
Обычные хостинги ограничены в возможностях для тонкой настройки безопасности, поэтому мы рекомендуем размещать обменник на виртуальном выделенном сервере и выполнить его настройку, чтобы снизить риски взлома. Как правило, у хостинг провайдеров есть платные услуги по настройке виртуальных серверов. Привлекать сторонних специалистов для настройки можно только тех, кому вы доверяете.
На хостинге (биллинг для управления услугой), где размещен ваш сайт, включите смс-авторизацию в личный кабинет. Установите другие способы ограничения на вход, если такие предусмотрены вашим хостингом. Для хостинг провайдера Reg.ru, как минимум, включите смс-авторизацию и оповещение на e-mail при авторизации в личном кабинете;
Обновите модуль Ioncube Loader до последней версии;
Установите и настройте на сервере модуль fail2ban;
Установите на сервер антивирус и сканер портов;
Настройте брандмауэр. Заблокируйте порты для FTP, SSH и различных Shell-клиентов;
Заблокируйте стандартные адреса к форме авторизации сервера. Например для ISP Manager это: http://ip_адрес/manager, http://ip_адрес/manager/ispmngr, http://ip_адрес/ispmngr;
Измените стандартный порт к форме авторизации сервера. Для ISP Manager обычно используется порт 1500. Установить любое свободное значение порта;
Заблокируйте адрес доступа к phpmyadmin;
Заблокируйте адрес доступа к почтовым клиентам. Например, http://ip_адрес/webmail/, http://ip_адрес/roundcube/ и т.п;
Для всех пользователей сервера, в том числе root, установите пароль не менее 15-25 символов;
Не храните резервные копии файлов и базы данных на сервере, особенно в корневой папке сайта.
Как защитить аккаунты в платежных системах?
При настройке при подключение платежных систем следует быть очень внимательными. Особое внимание стоит уделить ключам и паролям мерчантов и API интерфейсов, а также их сохранности. Утечка данной информации может повлечь за собой кражу денег.
Настоятельно рекомендуем вам для каждой подключаемой платежной системы активировать все возможные проверки личности: SMS-авторизацию, SMS-подтверждение перевода, подтверждение по email, ограничение доступа по IP адресу к API и в личный кабинет и т.п. Каждая платежная система обладает своим набором систем безопасности, поэтому данный момент стоит уточнить лично у технической поддержки соответствующей системы.
Для платежных систем рекомендуется подключить абсолютной новый номер мобильного телефона для SMS-подтверждений и сохранить его в анонимности, т.е. использовать исключительно только для SMS-подтверждений.
1. Консоль управления обменным пунктом
Обменный пункт ExhangeBox позволяет производить обмен между электронными валютами различных платежных систем.
Для настройки и работы с функциями обменного пункта перейдите в консоль управления. Для этого введите логин и пароль администратора, указанный при установке сайта, на странице http://ваш_домен/xchngbx/ (адрес панели управления по умолчанию).
Консоль управления позволяет настроить работу вашего сайта и систему обмена валют. В левой части панели управления расположено вертикальное меню, где находятся основные элементы управления вашим обменным пунктом.
2. Как добавить новую электронную валюту?
Перейдите в раздел «Валюты», который в меню консоли. Здесь вы увидите таблицу со списком всех платежных систем, установленных на вашем обменнике электронных валют по умолчанию. На этой же странице вы можете добавить новую платежную систему, которая будет обрабатываться вашим обменником. Для этого нажмите кнопку «Добавить», расположенную над таблицей:
В открывшемся окне вам необходимо заполнить поля, описывающие новую валюту.
Поле "Название ПС" — выберите название платежной системы.
В поле "Логотип" выберите из загруженных вариантов или загрузите свой логотип платежной системы.
Поле "Код валюты" — выберите трехзначный код валюты. Например, для долларов США выберите код валюты USD. В разделе «Коды валют» вы можете создать новые коды.
В полях "Обозначение для сайта" и «Обозначение для XML» — нужно указать сигнатуру валюты согласно стандартам экспорта курсов Jsons.info.На этой странице указаны сигнатуры всех валют.
Поле «Быстрая оплата» доступна для некоторых платежных систем, которые предоставляют подобную функцию. Если активировать данную функцию, то для выбранной платежной системы, администратор сможет переводить оплату клиенту без необходимости копировать его реквизиты. Они будут автоматически подставляться в форму для перевода средств на сайте платежной системы.
Поля «Название поля Со счета», «Название поля На счет» отображаются пользователю во время оформления заявки на обмен, когда ему предлагают указать номер счет с которого будет осуществлен перевод и номер счета на который должны поступить средства. У вас есть возможно переименовать данные поля. К примеру, «С карты» и «На карту». При необходимости вывод данных полей в форме подачи заявки можно отключить.
Параметры "Выводить поле "Со счета", "Выводить поле "На счета" позволяют скрыть поля ввода кошельков для валют Отдаю и Получаю при необходимости.
Поле «Подсказка для поля Со счета», «Подсказка для поля На счет» позволяет задать всплывающую подсказку, которая появляется при наведение на поле.
Поле «Мин. количество символов» и «Макc. количество символов» позволяет проверить соответствие и правильность указанного пользователем номера кошелька. В случае ошибки сайт автоматически предупредит пользователя о некорректном номере кошелька.
Поле «Первые символы» позволяет задать первые символы счета, которые будут проверяться при вводе клиентом его номера счета. Например, для кошелька Webmoney Z, первым символом может быть буква Z.
Параметр "Разрешить вывод партнерских средств" запрещает или разрешает вывод партнерских средств в данной валюте в партнерском кабинете пользователей.
После заполнения всех полей нажмите кнопку «Сохранить». Новая валюта появится в списке валют вашего обменника.
3. Как установить резерв для новой валюты?
Перейдите в раздел «Корректировка резерва», который в меню консоли. Нажмите кнопку «Добавить», расположенную над таблицей установленных валют.
В открывшемся окне необходимо заполнить поля «Сумма» и «Название валюты». В поле «Сумма» укажите, сколько валюты доступно для обмена. В поле «Название валюты» выберите название той валюты, резерв для которой вы только что указали.
Нажмите кнопку «Сохранить», чтобы задействовать произведенные изменения.
Обратите внимание. Если по каким-то причинам, не связанным с обменными операциями на сайте, резерв валюты увеличились или уменьшились, то для обновления данных для этой валюты необходимо указать вручную. Повторите вышеописанные операции по указанию резерва валюты, в поле сумма укажите, сколько валюты прибавилось или уменьшилось (со знаком «-» (минус)). Например, если резерв уменьшился на 500 у.е., то в поле сумма следует вписать «-500». Нажмите кнопку «Сохранить», чтобы задействовать произведенные изменения.
Примечание: сумма резерва валют изменяется автоматически после совершения обмена. Функция ручной корректировки резерва предусмотрена для тех случаев, когда вам необходимо добавить или снять деньги с баланса, который используется вашим обменником. Актуальный резерв валюты на сайте вы можете посмотреть в разделе «Валюты» в столбце «Резерв».
