Errori più comuni dei principianti di WHMCS
Formazione WHMCS
Quando si crea un sito con WHMCS per avviare un'attività di hosting, tutti commettono degli errori. Ogni errore è un'opportunità per imparare ma non finire col farne troppi. WHMCS non è un CMS come Joomla. È piattaforma collegata a server, metodi di pagamento, domini e migliaia di servizi dei clienti.
C'è poco spazio per gli errori quando il tuo lavoro consiste nell'erogare un servizio. Ecco perché nella nostra guida per principianti a WHMCS abbiamo sottolineato l'importanza di rivolgersi ad un esperto di WHMCS. Se il tuo budget non copre i costi per le consulenze, continua a leggere l'articolo. Ti insegneremo le basi.
Sicurezza aggiuntiva
Hai appena installato WHMCS. Prima di iniziare a giocare con le impostazioni, devi eseguire i cosiddetti Further Securiy Steps. C'è un articolo dettagliato che spiega tutto nella documentazione ufficiale di WHMCS.
Non è necessario ripetere ciò che già dice l'articolo. Qui ci soffermiamo sulle regioni per le quali tali passaggi sono importanti. Mentre è vero che alcuni di questi sono opzionali, altri sono fondamentali. Non sottovalutare mai la loro importanza.
Devi tenere presente che WHMCS è più di un sito ma lo strumento che permette di gestire la tua attività di hosting. È connesso a server, registrar e soluzioni di pagamento. Ciò detto, violare WHMCS è molto più appetibile che violare ad esempio WordPress.
Protezione directory scrivibili
Sposta le seguenti cartelle "sopra il www" in modo che non siano accessibili dal browser:
- attachments
- downloads
- templates_c
Se non le sposti, un cracker potrebbe riuscire a caricare una backdoor in WHMCS. La backdoor è un file che dà accesso a file e database del tuo sistema. Si utilizza per rubare i dati, inserire script malevoli o peggio ancora infettare i server e sottrarre domini.
Il cracker allega la backdoor in un ticket di supporto. Per varie ragioni WHMCS rinomina gli allegati aggiungendo un prefisso. Ad esempio inviare ciao.txt porta a 107046_ciao.txt. Tenendo presente questo, il cracker non deve fare altro che indovinare il prefisso utilizzando un directory scanner. Non appena lo trova, il disastro è servito. La backdoor è completamente accessibile dal browser.
Questo era solo uno dei molti modi che un cracker può sfruttare per approfittarsi delle directory scrivibili. Renderle sicure è fondamentale.
Protezione file di configurazione
Sempre nella root di WHMCS c'è un file chiamato configuration.php. Contiene informazioni sensibili che non possono essere recuperate senza un backup. Se modifichi o elimini per errore il file, non potrai recuperare le password memorizzate in WHMCS.
Per impedire modifiche accidentali al file, potresti impostarlo in sola lettura con CHMOD 400. A parte questo non ci sono altri motivi particolari per fare la modifica. Questo passaggio non aumenta la sicurezza ma protegge da errori umani.
Spostamento directory crons
Un'altra directory chiave di WHMCS è crons. Contiene gli script che si eseguono automaticamente con il cron job. Come abbiamo già detto per le directory scrivibili, si raccomanda di spostarla "sopra il www". In questo modo nessuno può attivare gli automatismi visitando la directory in questione dal browser.
Limitazione accesso per IP
Non sono un grande fan del limitare l'accesso all'amministrazione di WHMCS ad uno specifico range di IP. Cosa accadrebbe se dovessi accedere da cellulare, da IP dinamico, dall'estero o dal PC di un amico?
In questi casi trovarsi la pagina "Forbidden" sarebbe seccante. La protezione non può essere a discapito della mia facilità di utilizzo. Perché dovrei bloccarmi dal mio stesso CRM? Comunque sia sentiti libero di limitare l'accesso per IP se lo ritieni opportuno.
Cambio nome cartella admin
Per WordPress è wp-admin, per Joomla administrator, per PrestaShop admin. WHMCS non è da meno ed utilizza admin. Chinque conosce le directory admin predefinite per condurre attacchi brute force. È altersì possibile sfruttare vulnerabilità zero-day ancora sconosciute o non risolte dai publisher.
Quello che deve essere fatto è rinominare la cartella admin ma aspetta un momento. Non utilizzare nomi come crm, adminpanel, backend, staff, manage, il nome della tua azienda o parole d'uso comune. Credi che i cracker siano così stupidi? Se decidi comunque di utilizzare opzioni del genere, sappi che non stai aumentando la sicurezza.
Per ovvie ragioni non possiamo dire le percentuali esatte di quanti utilizzano nomi facili da indovinare. Sono davvero tanti. Con questo passaggio si può aumentare la sicurezza quasi senza alcuno sforzo. Ciononostante non capirò mai perché tutti fatichino così tanto a trovare un nome come 0D86Y4NG4. Non è che si debba ricordare a memoria in quanto basta aggiungere WHMCS ai preferiti.
Limitazione permessi database
WHMCS suggerisce di disabilitare permessi specifici nel database ma ignorerei questo passaggio. Come detto in precedenza, non mi entusiasma l'idea che la sicurezza debba essere a discapito dell'usabilità. Se qualcuno riesce a compromettere il tuo WHMCS, chi se ne importa dei permessi di modificare le tabelle. Hai qualcosa di molto più importante di cui preoccuparti.
Molti moduli terze parti nonché lo stesso WHMCS hanno espressamente bisogno di tali permessi. Perché dovresti perdere tempo ad attivare e disattivare a intermittenza i privilegi? Perché dovresti rinunciare alla possibilità di fare un backup o di svuotare una tabella piena di log? Salta questo passaggio.
Apertura link
Pochi paragrafi sopra abbiamo evidenziato l'importanza di rinominare la directory admin. Utilizzare un nome unico che non possa essere facilmente scoperto può fare una sostanziale differenza. Questa tattica tuttavia è inutile se non mantieni il nome segreto. Ecco quanto facilmente puoi rivelare il nome della cartella di amministrazione senza nemmeno rendertene conto.
Ogni volta che apri un link, il tuo browser include il campo referer che indica l'ultima pagina nella quale ti trovavi quando hai fatto click sul link. In parole povere quando apri un link in un ticket, stai rivelando la directory admin.
A titolo d'esempio molti dei nostri clienti cliccano sui link inclusi nei nostri moduli per consultare la documentazione, i changelog, per scaricare gli aggiornamenti... il nostro Google Analytics traccia tutti i referrers permettendoci di scoprire tutte le amministrazioni.
Andiamo dritti al punto. Non stiamo dicendo di non aprire alcun link ma di stare attento in quelli inclusi nei ticket. Abituati a copiarli ed incollarli nella barra degli indirizzi. Tieni presente che aprirli in una nuova scheda o finestra non nasconde il referrer.
Complicare le cose
I principianti hanno la strana abitudine di complicare le cose senza alcun motivo. WHMCS è già abbastanza difficile da imparare. Non peggiorare le cose. La seguente tabella può aiutarti a non prendere decisioni sbagliate.
Non fare questo  |
Fai questo  |
|---|---|
| Creare prodotti per un cliente | Usa i billable item |
| Aggiungere opzioni senza un motivo | Mantieni il processo d'ordine semplice e veloce |
| Replicare i piani hosting per ogni CMS | Lo stesso piano hosting può supportare qualsiasi CMS |
| Avere centinaia di prodotti che non si vendono mai | Concentrati sui prodotti che vendono |
| Utilizzare i product addon, gli upgrade e downgrade | Lasciali stare. Il più delle volte non servono |
| Creare troppi dipartimenti di assistenza | A meno che non impieghi decine di dipendenti, la prevendita e l'assistenza tecnica sono tutto ciò che ti occorre |
| Tradurre i file della lingua | Impara i language override |
| Falsificare la numerazione delle fatture | Non c'è niente di male nel cominciare dalla fattura #1 |
| Ospitare recensioni false | Stai alla larga da scandali e sanzioni |
| Mettere il tuo nome ovunque e sempre | Non perdere tempo nel brandizzare ogni cosa. Non c'è bisogno di nascondere che usi Plesk o cPanel |
| Pensare a WHMCS come un software multi-tenant | Ecco come gestire i reseller in WHMCS |
| Offire troppe scelte |
Hai solo da perderci. 3 opzioni sono ok, 5 sono troppe:
|
| Permette la registrazione di qualsiasi TLD |
Quando riuscirai a vendere quel TLD "esotico", perderai ore nel capire perché non funziona. Concentrati sui TLD più diffusi |
| Sprecare i gruppi cliente |
I clienti non possono essere assegnati a più di un gruppo. Non sprecare questa opportunità con raggruppamenti inutili |
| Disattivare l'automazione per evitare le frodi |
Impara a proteggerti dalle frodi in WHMCS |
| Cliccare senza leggere |
Leggi la documentazione e chiedi aiuto. In WHMCS non c'è la funzione undo |
| Pretendere di usare il Bulk Pricing Updater su un cliente |
Non è supportato. Usa questo pricing updater |
| Usare le password predefinitie per l'auto-setup | |
| Attento ai Client Custom Field | |
| Fare SEO |
Il SEO e WHMCS sono incompatibili |
| Personalizzare il template six |
Crea e lavora su copia del template six altrimenti tutte le modifiche saranno sovrascritte dagli aggiornamenti |
| WHMCS e clienti nello stesso server |
Alcuni pannelli di controllo web hosting non possono creare servizi nello stesso server dove si trova WHMCS (la funzione create va in time-out). Utilizza server separati |
| Login as Client? C'è un glitch | |
| Utilizzare l'integrazione predefinita con Chatstack |
Guarda la nostra integrazione migliorata con Chatstack |
Utilizzare un CMS
WHMCS non dispone degli strumenti per la creazione di contenuti ed è pessimo dal punto di vista del SEO. Molti provano ad aggirare il problema affiancando a WHMCS un CMS come WordPress, Joomla o Drupal. Questa è una pessima idea. Potresti utilizzare direttamente WHMCS CMS che già include miglioramenti SEO.
Se vuoi comunque affidarti ad un CMS esterno, poni molta attenzione a quanto segue. WHMCS ed il CMS devono essere installati in piani hosting separati. Per evitare fraintendimenti, osserva questa l'immagine.
Ecco cosa intendiamo nel dire "piani hosting separati". Non stiamo parlando di alias, sottodomini, addon domain o di parcking. Non parliamo nemmeno di account FTP separati. Devi trattarli come due siti distinti.
Non importa come sarà accessibile il CMS da web. Può essere da example.com/blog, blog.example.com o example.com ma tienili in hosting separati.
Se non segui questa regola, un cracker può violare WHMCS sfruttando una falla del CMS. Non mettere tutte le uova nello stesso paniere. Non serve a molto mettere in sicurezza WHMCS mentre si permette che potenziali attacchi possano provenire dal CMS.
Fatture automatiche
Se trovi un errore in una fattura creata automaticamente da WHMCS, non eliminarla. Le fatture di questo tipo hanno infatti la peculiarità di memorizzare i "reference ID". Questi valori non sono né visibili né modificabili da interfaccia.
Se elimini una fattura che presenta tali ID, WHMCS non sarà in grado di eseguire le attività automatiche quando necessario (es. creazione, rinnovo, riattivazione dei prodotti e domini). Piuttosto correggi l'errore nella stessa fattura. Non eliminare le voci della fattura altrimenti sarai costretto ad eseguire tutte le attività manualmente.
WHMCS è fantastico nell'inviare notifiche sia ai clienti che agli amministratori. La personalizzazione di questa funzione richiede competenze. Il problema è che i principianti tendono a sovrastimare le proprie capacità. Procedono con sicurezza nel modificare le email e senza rendersene conto causano solo confusione nei clienti.
Email Template
Cominci a modificare gli email template con le migliori intenzioni. Probabilmente vuoi tradurre le email in altre lingue ma per finisci col complicare le cose.
Non giriamoci intorno, non sai ancora utilizzare WHMCS perciò non è il caso di mettersi a fare modifiche. Prenditi il tempo necessario per conoscere il software prima di cambiare le cose. Se non lo fai rischi di confondere i clienti con email che non hanno senso.
Email Piping
Con l'Email Piping le email inviate dai clienti diventano automaticamente ticket di assistenza. Ne consegue che i clienti possono aprire ticket inviando una mail senza bisogno di accedere all'area clienti.
Ti consigliamo di stare alla larga da questa funzione. Questo è particolarmente vero per chi crea un servizio di hosting da zero. L'errata configurazione dell'email piping infatti può farti perdere le email e causare loop infiniti.
Vediamola da un'altra prospettiva. Hai appena creato il tuo sito con WHMCS. Ciò di cui hai più bisogno sono i visitatori per poter migliorare il posizionamento nei motori di ricerca. Avere clienti che aprono ticket dall'area clienti può sicuramente aiutare.
Non c'è nulla di male nell'essere un po' opportunisti. Si fanno tanti sforzi per cercare di portare traffico nel sito con campagne di marketing. I clienti che nel sito aprono, leggono e rispondono ai ticket sono fondamentalmente traffico gratuito. Utilizza l'email piping in una fase successiva.
Marketing Email
La normativa GDPR impone che le email pubblicitarie non possano essere inviate senza consenso. A partire dalla versione 7.5 di WHMCS, è stata introdotta la possibilità per i clienti di dare o negare il consenso all'invio di materiale pubblicitario. Il problema è che molti dimenticano di rispettare la normativa.
Ogni volta che utilizzi il Mass Mail Tool domandati se stai inviando un'email pubblicitaria. Se è questo il caso, spunta il relativo checkbox ed includi l'unsubscribe URL nel corpo del messaggio.
Fatturazione
WHMCS tiene insieme la tua attività collegando domini, servizi, pagamenti e clienti con l'automazione. L'approccio migliore è quello di abbracciare questa struttura nella sua interezza adattandola alle proprie esigenze.
Il problema è che molti vogliono utilizzare soluzioni di terze parti per l'emissione delle fatture. Generalmente i motivi alla base di questa scelta sono abbastanza futili. Alcuni dicono di avere già un software di fatturazione e che pertanto vogliono utilizzarlo giusto per il gusto di farlo.
Non complicare le cose e goditi l'esperienza completamente integrata di WHMCS. Billing Extension estende le funzionalità offrendoti soluzioni come:
- Fatturazione mensile
- Fatturazione elettronica
- Note di credito
- Fatture via FTP
- Tracking delle conversioni su Facebook Pixel e LinkedIn
Se desideri comunque avvalerti di un software esterno, metti in conto di dover impiegare del tempo per inviare le fatture manualmente. In alternativa puoi assumere un programmatore che si occupi di integrare il tuo software con WHMCS.
Credenziali
È una cosa normale per i proprietari di WHMCS affidarsi a sviluppatori ed aziende esterne. Vuoi per assistenza dedicata WHMCS, moduli o template. In questo scenario è fondamentale condividere le credenziali FTP e di amministrazione.
Comprendiamo che ai principainti possa non piacere l'idea di dare accesso ai loro sistemi. È così che si finisce col creare account con privilegi limitati. Si nascondono anche i clienti, le fatture e i ricavi. È tempo di sfatare il mito che questo possa offrire un qualche genere di protezione.
L'accesso FTP è sufficiente per accedere a tutti i file, il database e all'amministrazione di WHMCS. Non ti stiamo dicendo questo per spaventarti. Semplicemente i permessi non forniscono alcuna protezione da comportamenti scorretti. Concentrati piuttosto nel riporre fiducia nelle persone giuste.
Commenti (0)