Errori più comuni dei principianti di WHMCS

Errori più comuni dei principianti di WHMCS

Indietro   Pubblicato 11 maggio 2020 / Aggiornato 18 settembre 2020
Tempo di lettura 11 minuti

Formazione WHMCS

Quando si crea un sito con WHMCS per avviare un'attività di hosting, tutti commettono degli errori. Ogni errore è un'opportunità per imparare ma non finire col farne troppi. WHMCS non è un CMS come Joomla. È piattaforma collegata a server, metodi di pagamento, domini e migliaia di servizi dei clienti.

C'è poco spazio per gli errori quando il tuo lavoro consiste nell'erogare un servizio. Ecco perché nella nostra guida per principianti a WHMCS abbiamo sottolineato l'importanza di rivolgersi ad un esperto di WHMCS. Se il tuo budget non copre i costi per le consulenze, continua a leggere l'articolo. Ti insegneremo le basi.

Sicurezza aggiuntiva

Hai appena installato WHMCS. Prima di iniziare a giocare con le impostazioni, devi eseguire i cosiddetti Further Securiy Steps. C'è un articolo dettagliato che spiega tutto nella documentazione ufficiale di WHMCS.

Non è necessario ripetere ciò che già dice l'articolo. Qui ci soffermiamo sulle regioni per le quali tali passaggi sono importanti. Mentre è vero che alcuni di questi sono opzionali, altri sono fondamentali. Non sottovalutare mai la loro importanza.

Devi tenere presente che WHMCS è più di un sito ma lo strumento che permette di gestire la tua attività di hosting. È connesso a server, registrar e soluzioni di pagamento. Ciò detto, violare WHMCS è molto più appetibile che violare ad esempio WordPress.

Protezione directory scrivibili

Sposta le seguenti cartelle "sopra il www" in modo che non siano accessibili dal browser:

  • attachments
  • downloads
  • templates_c

 

Se non le sposti, un cracker potrebbe riuscire a caricare una backdoor in WHMCS. La backdoor è un file che dà accesso a file e database del tuo sistema. Si utilizza per rubare i dati, inserire script malevoli o peggio ancora infettare i server e sottrarre domini.

Il cracker allega la backdoor in un ticket di supporto. Per varie ragioni WHMCS rinomina gli allegati aggiungendo un prefisso. Ad esempio inviare ciao.txt porta a 107046_ciao.txt. Tenendo presente questo, il cracker non deve fare altro che indovinare il prefisso utilizzando un directory scanner. Non appena lo trova, il disastro è servito. La backdoor è completamente accessibile dal browser.

Questo era solo uno dei molti modi che un cracker può sfruttare per approfittarsi delle directory scrivibili. Renderle sicure è fondamentale.

Protezione file di configurazione

Sempre nella root di WHMCS c'è un file chiamato configuration.php. Contiene informazioni sensibili che non possono essere recuperate senza un backup. Se modifichi o elimini per errore il file, non potrai recuperare le password memorizzate in WHMCS.

Per impedire modifiche accidentali al file, potresti impostarlo in sola lettura con CHMOD 400. A parte questo non ci sono altri motivi particolari per fare la modifica. Questo passaggio non aumenta la sicurezza ma protegge da errori umani.

Spostamento directory crons

Un'altra directory chiave di WHMCS è crons. Contiene gli script che si eseguono automaticamente con il cron job. Come abbiamo già detto per le directory scrivibili, si raccomanda di spostarla "sopra il www". In questo modo nessuno può attivare gli automatismi visitando la directory in questione dal browser.

Limitazione accesso per IP

Non sono un grande fan del limitare l'accesso all'amministrazione di WHMCS ad uno specifico range di IP. Cosa accadrebbe se dovessi accedere da cellulare, da IP dinamico, dall'estero o dal PC di un amico?

In questi casi trovarsi la pagina "Forbidden" sarebbe seccante. La protezione non può essere a discapito della mia facilità di utilizzo. Perché dovrei bloccarmi dal mio stesso CRM? Comunque sia sentiti libero di limitare l'accesso per IP se lo ritieni opportuno.

Cambio nome cartella admin

Per WordPress è wp-admin, per Joomla administrator, per PrestaShop admin. WHMCS non è da meno ed utilizza admin. Chinque conosce le directory admin predefinite per condurre attacchi brute force. È altersì possibile sfruttare vulnerabilità zero-day ancora sconosciute o non risolte dai publisher.

Quello che deve essere fatto è rinominare la cartella admin ma aspetta un momento. Non utilizzare nomi come crm, adminpanel, backend, staff, manage, il nome della tua azienda o parole d'uso comune. Credi che i cracker siano così stupidi? Se decidi comunque di utilizzare opzioni del genere, sappi che non stai aumentando la sicurezza.

Per ovvie ragioni non possiamo dire le percentuali esatte di quanti utilizzano nomi facili da indovinare. Sono davvero tanti. Con questo passaggio si può aumentare la sicurezza quasi senza alcuno sforzo. Ciononostante non capirò mai perché tutti fatichino così tanto a trovare un nome come 0D86Y4NG4. Non è che si debba ricordare a memoria in quanto basta aggiungere WHMCS ai preferiti.

Limitazione permessi database

WHMCS suggerisce di disabilitare permessi specifici nel database ma ignorerei questo passaggio. Come detto in precedenza, non mi entusiasma l'idea che la sicurezza debba essere a discapito dell'usabilità. Se qualcuno riesce a compromettere il tuo WHMCS, chi se ne importa dei permessi di modificare le tabelle. Hai qualcosa di molto più importante di cui preoccuparti.

Molti moduli terze parti nonché lo stesso WHMCS hanno espressamente bisogno di tali permessi. Perché dovresti perdere tempo ad attivare e disattivare a intermittenza i privilegi? Perché dovresti rinunciare alla possibilità di fare un backup o di svuotare una tabella piena di log? Salta questo passaggio.

Apertura link

Pochi paragrafi sopra abbiamo evidenziato l'importanza di rinominare la directory admin. Utilizzare un nome unico che non possa essere facilmente scoperto può fare una sostanziale differenza. Questa tattica tuttavia è inutile se non mantieni il nome segreto. Ecco quanto facilmente puoi rivelare il nome della cartella di amministrazione senza nemmeno rendertene conto.

Ogni volta che apri un link, il tuo browser include il campo referer che indica l'ultima pagina nella quale ti trovavi quando hai fatto click sul link. In parole povere quando apri un link in un ticket, stai rivelando la directory admin.

A titolo d'esempio molti dei nostri clienti cliccano sui link inclusi nei nostri moduli per consultare la documentazione, i changelog, per scaricare gli aggiornamenti... il nostro Google Analytics traccia tutti i referrers permettendoci di scoprire tutte le amministrazioni.

Andiamo dritti al punto. Non stiamo dicendo di non aprire alcun link ma di stare attento in quelli inclusi nei ticket. Abituati a copiarli ed incollarli nella barra degli indirizzi. Tieni presente che aprirli in una nuova scheda o finestra non nasconde il referrer.

Complicare le cose

I principianti hanno la strana abitudine di complicare le cose senza alcun motivo. WHMCS è già abbastanza difficile da imparare. Non peggiorare le cose. La seguente tabella può aiutarti a non prendere decisioni sbagliate.

Non fare questo Fai questo
Creare prodotti per un cliente Usa i billable item
Aggiungere opzioni senza un motivo Mantieni il processo d'ordine semplice e veloce
Replicare i piani hosting per ogni CMS Lo stesso piano hosting può supportare qualsiasi CMS
Avere centinaia di prodotti che non si vendono mai Concentrati sui prodotti che vendono
Utilizzare i product addon, gli upgrade e downgrade Lasciali stare. Il più delle volte non servono
Creare troppi dipartimenti di assistenza A meno che non impieghi decine di dipendenti, la prevendita e l'assistenza tecnica sono tutto ciò che ti occorre
Tradurre i file della lingua Impara i language override
Falsificare la numerazione delle fatture Non c'è niente di male nel cominciare dalla fattura #1
Ospitare recensioni false Stai alla larga da scandali e sanzioni
Mettere il tuo nome ovunque e sempre Non perdere tempo nel brandizzare ogni cosa. Non c'è bisogno di nascondere che usi Plesk o cPanel
Pensare a WHMCS come un software multi-tenant Ecco come gestire i reseller in WHMCS
Offire troppe scelte

Hai solo da perderci. 3 opzioni sono ok, 5 sono troppe:

  • Pro, Business, Enterprise
  • Bronze, Silver, Gold, Platinum
  • XS, S, M, L, XL, XXL, Plus, Premium, Special
Permette la registrazione di qualsiasi TLD

Quando riuscirai a vendere quel TLD "esotico", perderai ore nel capire perché non funziona. Concentrati sui TLD più diffusi

Sprecare i gruppi cliente

I clienti non possono essere assegnati a più di un gruppo. Non sprecare questa opportunità con raggruppamenti inutili

Disattivare l'automazione per evitare le frodi

Impara a proteggerti dalle frodi in WHMCS

Cliccare senza leggere

Leggi la documentazione e chiedi aiuto. In WHMCS non c'è la funzione undo

Pretendere di usare il Bulk Pricing Updater su un cliente

Non è supportato. Usa questo pricing updater

Usare le password predefinitie per l'auto-setup

Usa il generatore di password sicure

Attento ai Client Custom Field

Blocca modifica Client Custom Field

Fare SEO

Il SEO e WHMCS sono incompatibili

Personalizzare il template six

Crea e lavora su copia del template six altrimenti tutte le modifiche saranno sovrascritte dagli aggiornamenti

WHMCS e clienti nello stesso server

Alcuni pannelli di controllo web hosting non possono creare servizi nello stesso server dove si trova WHMCS (la funzione create va in time-out). Utilizza server separati

Login as Client? C'è un glitch

Risolvilo

Utilizzare l'integrazione predefinita con Chatstack

Guarda la nostra integrazione migliorata con Chatstack

Utilizzare un CMS

WHMCS non dispone degli strumenti per la creazione di contenuti ed è pessimo dal punto di vista del SEO. Molti provano ad aggirare il problema affiancando a WHMCS un CMS come WordPress, Joomla o Drupal. Questa è una pessima idea. Potresti utilizzare direttamente WHMCS CMS che già include miglioramenti SEO.

Se vuoi comunque affidarti ad un CMS esterno, poni molta attenzione a quanto segue. WHMCS ed il CMS devono essere installati in piani hosting separati. Per evitare fraintendimenti, osserva questa l'immagine.

Ecco cosa intendiamo nel dire "piani hosting separati". Non stiamo parlando di alias, sottodomini, addon domain o di parcking. Non parliamo nemmeno di account FTP separati. Devi trattarli come due siti distinti.

Non importa come sarà accessibile il CMS da web. Può essere da example.com/blog, blog.example.com o example.com ma tienili in hosting separati.

Se non segui questa regola, un cracker può violare WHMCS sfruttando una falla del CMS. Non mettere tutte le uova nello stesso paniere. Non serve a molto mettere in sicurezza WHMCS mentre si permette che potenziali attacchi possano provenire dal CMS.

Fatture automatiche

Se trovi un errore in una fattura creata automaticamente da WHMCS, non eliminarla. Le fatture di questo tipo hanno infatti la peculiarità di memorizzare i "reference ID". Questi valori non sono né visibili né modificabili da interfaccia.

Se elimini una fattura che presenta tali ID, WHMCS non sarà in grado di eseguire le attività automatiche quando necessario (es. creazione, rinnovo, riattivazione dei prodotti e domini). Piuttosto correggi l'errore nella stessa fattura. Non eliminare le voci della fattura altrimenti sarai costretto ad eseguire tutte le attività manualmente.

Email

WHMCS è fantastico nell'inviare notifiche sia ai clienti che agli amministratori. La personalizzazione di questa funzione richiede competenze. Il problema è che i principianti tendono a sovrastimare le proprie capacità. Procedono con sicurezza nel modificare le email e senza rendersene conto causano solo confusione nei clienti.

Email Template

Cominci a modificare gli email template con le migliori intenzioni. Probabilmente vuoi tradurre le email in altre lingue ma per finisci col complicare le cose.

Non giriamoci intorno, non sai ancora utilizzare WHMCS perciò non è il caso di mettersi a fare modifiche. Prenditi il tempo necessario per conoscere il software prima di cambiare le cose. Se non lo fai rischi di confondere i clienti con email che non hanno senso.

Email Piping

Con l'Email Piping le email inviate dai clienti diventano automaticamente ticket di assistenza. Ne consegue che i clienti possono aprire ticket inviando una mail senza bisogno di accedere all'area clienti.

Ti consigliamo di stare alla larga da questa funzione. Questo è particolarmente vero per chi crea un servizio di hosting da zero. L'errata configurazione dell'email piping infatti può farti perdere le email e causare loop infiniti.

Vediamola da un'altra prospettiva. Hai appena creato il tuo sito con WHMCS. Ciò di cui hai più bisogno sono i visitatori per poter migliorare il posizionamento nei motori di ricerca. Avere clienti che aprono ticket dall'area clienti può sicuramente aiutare.

Non c'è nulla di male nell'essere un po' opportunisti. Si fanno tanti sforzi per cercare di portare traffico nel sito con campagne di marketing. I clienti che nel sito aprono, leggono e rispondono ai ticket sono fondamentalmente traffico gratuito. Utilizza l'email piping in una fase successiva.

Marketing Email

La normativa GDPR impone che le email pubblicitarie non possano essere inviate senza consenso. A partire dalla versione 7.5 di WHMCS, è stata introdotta la possibilità per i clienti di dare o negare il consenso all'invio di materiale pubblicitario. Il problema è che molti dimenticano di rispettare la normativa.

Ogni volta che utilizzi il Mass Mail Tool domandati se stai inviando un'email pubblicitaria. Se è questo il caso, spunta il relativo checkbox ed includi l'unsubscribe URL nel corpo del messaggio.



Fatturazione

WHMCS tiene insieme la tua attività collegando domini, servizi, pagamenti e clienti con l'automazione. L'approccio migliore è quello di abbracciare questa struttura nella sua interezza adattandola alle proprie esigenze.

Il problema è che molti vogliono utilizzare soluzioni di terze parti per l'emissione delle fatture. Generalmente i motivi alla base di questa scelta sono abbastanza futili. Alcuni dicono di avere già un software di fatturazione e che pertanto vogliono utilizzarlo giusto per il gusto di farlo.

Non complicare le cose e goditi l'esperienza completamente integrata di WHMCS. Billing Extension estende le funzionalità offrendoti soluzioni come:

Se desideri comunque avvalerti di un software esterno, metti in conto di dover impiegare del tempo per inviare le fatture manualmente. In alternativa puoi assumere un programmatore che si occupi di integrare il tuo software con WHMCS.

Credenziali

È una cosa normale per i proprietari di WHMCS affidarsi a sviluppatori ed aziende esterne. Vuoi per assistenza dedicata WHMCS, moduli o template. In questo scenario è fondamentale condividere le credenziali FTP e di amministrazione.

Comprendiamo che ai principainti possa non piacere l'idea di dare accesso ai loro sistemi. È così che si finisce col creare account con privilegi limitati. Si nascondono anche i clienti, le fatture e i ricavi. È tempo di sfatare il mito che questo possa offrire un qualche genere di protezione.

L'accesso FTP è sufficiente per accedere a tutti i file, il database e all'amministrazione di WHMCS. Non ti stiamo dicendo questo per spaventarti. Semplicemente i permessi non forniscono alcuna protezione da comportamenti scorretti. Concentrati piuttosto nel riporre fiducia nelle persone giuste.

Commenti (0)

Dì ciò che pensi Cancella Risposta