Blog Hosting SEO
Ghid complet de securizare cPanel/WHM

Ghid complet de securizare cPanel/WHM: Pași esențiali pentru protejarea serverului tău

Ghid complet de securizare cPanel/WHM: Pași esențiali pentru protejarea serverului tău. cPanel/WHM (WebHost Manager) este una dintre cele mai populare soluții de administrare a serverelor web, utilizată de numeroase companii de hosting și administratori de sisteme.

Ghid complet de securizare cPanel/WHM

Având în vedere că un atac asupra interfeței de administrare poate compromite întreg serverul și datele clienților, este esențial să aplici măsuri stricte de securitate. În acest articol, vom parcurge pașii esențiali și recomandările de top pentru a-ți proteja cPanel/WHM împotriva atacurilor cibernetice, accesului neautorizat și vulnerabilităților comune.

1. Actualizarea periodică a sistemului și a pachetelor

1.1 Actualizează cPanel/WHM la ultima versiune

cPanel/WHM lansează frecvent update-uri care includ patch-uri de securitate și îmbunătățiri. În interfața WHM, accesează “Upgrade to Latest Version” („Actualizează la ultima versiune”) și configurează update-urile automate (în “Update Preferences”), astfel încât serverul să primească patch-urile de securitate imediat ce devin disponibile.

1.2 Actualizează distribuția de Linux

Dacă folosești CentOS, AlmaLinux sau Rocky Linux, este fezabil să configurezi un manager de pachete (ex. yum-cron sau dnf-automatic) pentru update-uri critice de securitate.

dnf install dnf-automatic
vi /etc/dnf/automatic.conf
# setează apply_updates = yes
systemctl enable --now dnf-automatic.timer

Menținerea kernel-ului și pachetelor critice la zi reduce riscul exploatării vulnerabilităților cunoscute.

2. Configurarea firewall-ului și a filtrării traficului

2.1 Instalarea și configurarea CSF (ConfigServer Security & Firewall)

CSF este un firewall avansat, ușor de integrat cu cPanel/WHM și oferă atât filtrare de pachete, cât și protecție brute force.

cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Din WHM, accesează “ConfigServer Security & Firewall” și ajustează parametrii:

  • TESTING = 0 pentru a aplica regulile în producție.
  • LF_DAEMON = 300 (timpul de scanare a log-urilor la fiecare 5 minute).
  • Activează LF_TRIGGER și LF_SCRIPT_ALERT pentru notificări prin email la detectarea comportamentelor suspecte.

2.2 Blocarea porturilor neutilizate

În CSF, deschide doar porturile strict necesare:

  • SSH (de preferat schimbat de la portul 22 la un port neobișnuit, ex.: 2222 sau 4620).
  • HTTP (80) și HTTPS (443).
  • cPanel/WHM (2082, 2083, 2086, 2087) – dacă nu e nevoie de acces extern, restricționează accesul pe IP-uri whitelist.

Poți folosi opțiunea csf.allow.deny pentru a restricționa IP-urile la nivel de acces WHM/cPanel:

csf -a 203.0.113.45    /* whitelist IP */csf -d 198.51.100.23  /* deny IP */

2.3 Utilizarea ModSecurity

ModSecurity este un WAF (Web Application Firewall) care filtrează traficul web la nivel de aplicație. În WHM, accesează “ModSecurity™ Configuration” și activează profiluri de reguli (de exemplu, Comodo CXS sau OWASP ModSecurity Core Rule Set). Actualizează periodic regulile pentru a acoperi noi exploit-uri.

3. Protejarea accesului SSH

3.1 Schimbă portul implicit

Modifică /etc/ssh/sshd_config:

Port 4620
PermitRootLogin no
PasswordAuthentication no

După salvare, restart:

systemctl restart sshd

Astfel, accesul bruteforce pe portul 22 este evitat.

3.2 Dezactivează autentificarea prin parolă; folosește chei SSH

În același fișier sshd_config, asigură-te că PasswordAuthentication no. Încarcă cheia publică în ~/.ssh/authorized_keys pentru utilizatorii validați.

3.3 Activează autentificarea în doi pași (2FA) pentru SSH (opțional)

Poți instala google-authenticator (sau libpam-google-authenticator) pentru a adăuga un strat suplimentar de securitate:

yum install epel-release -y
yum install google-authenticator qrencode -y
google-authenticator

Configurează PAM să includă autentificatorul în /etc/pam.d/sshd:

auth required pam_google_authenticator.so

În sshd_config, adaugă:

ChallengeResponseAuthentication yes

Restart SSH:

systemctl restart sshd

4. Autentificarea în doi pași (2FA) pentru cPanel/WHM

4.1 Activarea 2FA din WHM

În WHM, mergi la “Two-Factor Authentication” („Autentificare în doi pași”) și activează-l la nivel de server. Poți alege OTP prin Google Authenticator sau Authy. În cPanel, fiecare cont poate configura 2FA individual, astfel încât chiar dacă datele de autentificare sunt compromise, atacatorul va avea nevoie și de codul din aplicația de autentificare.

4.2 Recomandări pentru 2FA

  • Instruiește utilizatorii să nu folosească același cod 2FA pentru alte servicii.
  • Păstrează codurile de recuperare într-un loc sigur, în caz că dispozitivul generatoare de cod este pierdut.

5. Gestionarea permisiunilor și a rolurilor

5.1 Configurarea cPanel/WHM ACL (Access Control Lists)

În WHM, sub “Managed WHM Root Access”, creează roluri personalizate și limitează accesul la anumite funcționalități (ex.: drept de restart Apache, acces la configurații DNS, creare zone DNS etc.). Alocă utilizatorului root doar contul principal și creează conturi de reseller cu permisiuni restrânse pentru acțiuni administrative.

5.2 Permisiuni fișiere și directoare

Verifică periodic permisiunile la directoarele critice:

  • /var/cpanel
  • /etc
  • /home

Folosește comanda:

find /home -type f -perm 777 -or -perm 666

pentru a identifica fișiere cu permisiuni prea permisive. Asigură-te că scripturile PHP nu au drepturi de execuție pentru utilizatorii neautentificați.

6. Protecție împotriva atacurilor brute force și scanare de malware

6.1 ConfigServer Login Failure Daemon (lfd)

Acesta vine împreună cu CSF și blochează IP-urile care încearcă autentificări repetate eșuate (SSH, cPanel, FTP). În /etc/csf/csf.conf, parametrii importanți:

  • LF_SSHD = „5” – blochează IP după 5 încercări eșuate SSH.
  • LF_CPANEL = „5” – pentru încercări eșuate cPanel.
  • LF_FTPD = „5” – pentru FTP.

Configurează LF_ALERT_TO pentru a primi notificări prin email la fiecare blocare.

6.2 Protecție ClamAV și ImunifyAV

Poți instala un scanner de malware precum ClamAV sau (opțional, pentru hosting comercial) ImunifyAV.

ClamAV:

yum install clamav clamd -y
systemctl enable --now clamd
freshclam

Programează scanări lunare cu cron:

0 3 1 * * clamscan -r /home --exclude-dir="/home/*/.cache" --bell -i >> /var/log/clamav/scan-$(date +\%Y-\%m-\%d).log

7. Monitorizare și Back-up

7.1 Monitorizarea resurselor și a fișierelor de log

În WHM, activează alertele de resurse (CPU, RAM, spațiu pe disc) pentru a primi notificări atunci când pragurile sunt depășite. Folosește un tool extern (ex.: Zabbix, Nagios, New Relic) pentru monitorizare avansată. Verifică regulat fișierele de log:

  • /usr/local/cpanel/logs/access_log
  • /usr/local/cpanel/logs/error_log
  • /var/log/messages

7.2 Sisteme de backup și restaurare

În WHM, configurează “Backup Configuration” și programează backup zilnic sau săptămânal, în funcție de importanța datelor. Alege un sistem extern (Amazon S3, Google Cloud Storage, sau un server FTP dedicat) pentru a păstra copiile de siguranță în afara serverului principal. Testează restaurarea periodic pentru a te asigura că backup-urile sunt valide.

8. Protecția aplicațiilor web găzduite (PHP, WordPress, Joomla etc.)

8.1 Configurarea PHP-FPM și suEXEC

Activează PHP-FPM în WHM la nivel de pachet/al cont. Acest lucru izolează procesele PHP și reduce riscul escaladării privilegilor. Asigură-te că suEXEC este activat, astfel încât scripturile PHP să ruleze sub UID-ul propriu al contului.

8.2 Actualizarea regulată a CMS-urilor și plugin-urilor

Dacă găzduiești WordPress sau alt CMS, informează clienții să își actualizeze frecvent temele și plugin-urile. Instalează un plugin de securitate (Wordfence, Sucuri Security) pentru a monitoriza modificările fișierelor și a preveni intruziunile.

8.3 Blocarea accesului la directoarele sensibile

În .htaccess al fiecărui cont, adaugă reguli pentru a bloca accesul la fișierele de configurare:

<FilesMatch "^(wp-config\.php|\.env|config\.inc\.php)$">
    Order allow,deny
    Deny from all
</FilesMatch>

Dezactivează listarea directoarelor:

Options -Indexes

Concluzie ghid complet de securizare cPanel/WHM

Securizarea cPanel/WHM și a aplicațiilor găzduite presupune o abordare multi-layered, adică un set de măsuri complementare pentru a împiedica atacurile și exploatări de vulnerabilități. Prin:

  • actualizări regulate (sistem și cPanel),
  • configurarea unui firewall robust (CSF + ModSecurity),
  • protejarea strictă a accesului SSH și a conturilor cPanel prin 2FA,
  • permisii restrictive pe fișiere și roluri bine definite,
  • monitorizare constantă și backup-uri externe,

Poți reduce semnificativ riscul de compromitere a serverului. Nu în ultimul rând, menține-te la curent cu noile practici de securitate și educă-ți echipa și utilizatorii finali pentru a se familiariza cu importanța parolelor puternice și a actualizărilor constante.

Prin aplicarea riguroasă a acestor pași, vei transforma serverul tău cPanel/WHM într-o platformă mult mai sigură, rezilientă și fiabilă.

Articole Similare

Comments (0)

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Înapoi sus
Your Cart

Your cart is empty.

Visit the Shop