Securizarea unui server VPS cu cPanel este crucială pentru a proteja datele de pe server și pentru a preveni orice atacuri cibernetice. În acest articol, vom discuta despre câțiva pași de bază pentru a vă asigura că serverul dvs. este securizat.
Mulți deținători de site-uri se concentrează pe securitatea site-urilor lor prin utilizarea de firewall-uri și plugin-uri, dar adesea neglijează securitatea serverului. Dacă serverul dvs. VPS nu este sigur, atunci un hacker poate obține cu ușurință controlul asupra site-ului direct prin cPanel. De aceea, este esențial să aveți un plan de securitate bine gândit încă de la început.
cPanel oferă numeroase sfaturi și instrumente utile pentru securizarea unui server, astfel încât să vă puteți proteja datele stocate pe server împotriva amenințărilor cibernetice. Cu ajutorul acestor resurse, puteți implementa măsuri de securitate robuste pentru a preveni accesul neautorizat și alte atacuri asupra serverului.
În acest articol, vom discuta despre câțiva pași de bază pentru a vă asigura că serverul dvs. este securizat:
1. Actualizați întotdeauna cPanel la cea mai recentă versiune.
Acest lucru poate fi realizat accesând WHM -> cPanel -> Upgrade to Latest Version sau direct din terminal, rulând comanda de mai jos cu utilizatorul root:
/usr/local/cpanel/scripts/upcp
2. Utilizează parole puternice
A avea o parolă slabă este echivalent cu a-ți lăsa ușa de la intrare deblocată. Hackerii folosesc tehnici de brute force pentru a accesa conturile cPanel, email sau SSH prin intermediul parolelor slabe sau ușor de ghicit. Să avem o parolă sigură este esențial pentru a preveni astfel de incidente nedorite.
Iată câteva sfaturi utile pentru a crea parole puternice:
- Utilizați o combinație de litere, cifre și caractere speciale. Cu cât este mai diversă parola, cu atât este mai dificilă de spart.
- Evitați utilizarea de informații personale precum numele dvs., adresa sau data de naștere. Acestea sunt ușor de ghicit prin intermediul informațiilor disponibile public.
- Folosiți parole diferite pentru diferite conturi, astfel încât, dacă una dintre parole este compromisă, celelalte conturi nu vor fi afectate.
- Înlocuiți parolele vechi cu altele noi la intervale regulate de timp, cum ar fi la fiecare 3 luni sau chiar mai frecvent.
- Utilizați un generator de parole pentru a crea parole puternice precum PrivacyCanada.
3. Securizează accesul SSH
Securizarea accesului SSH este un aspect important atunci când securizăm un server, deoarece este una dintre cele mai utilizate căi de acces pentru un hacker. Modificarea portului SSH este o modalitate eficientă de a preveni atacurile automate care scanează porturile standard SSH și încearcă să ghicească parolele.
Pentru a modifica portul SSH trebuie să editezi fișierul /etc/ssh/sshd_config cu userul root, unde vei înlocui portul standard 22 cu alt port (21112,31113,71117,811118, etc). Ulterior, trebuie să restartezi serviciul sshd pentru a aplica modificările.
nano /etc/ssh/sshd_config service sshd restart
Permiterea accesului doar pe baza de IP este o altă metodă puternică de securizare a serverului. Acest lucru va permite accesul numai utilizatorilor de încredere, adică acelora care dețin adrese IP cunoscute și autorizate pentru a accesa serverul. Această abordare poate ajuta la reducerea riscului de atacuri cibernetice și poate oferi o protecție suplimentară împotriva potențialelor vulnerabilități.
Securizarea accesului pe baza de IP se poate face din WHM -> Host Access Control sau direct din terminal prin editarea fisierului /etc/hosts.allow unde adaugam restrictiile pe baza de IP. În noile versiuni, precum AlmaLinux 8 sau CloudLinux 8, opțiunea /etc/hosts.allow nu mai este disponibilă in terminal.
Cu toate acestea, securizarea se poate realiza prin intermediul opțiunii Host Access Control disponibilă în WHM de unde aveti posibilitatea să restricționați accesul la server prin specificarea adreselor IP permise sau interzise.
nano /etc/hosts.allow
Adaugam linile de cod urmatoare:
sshd : localhost : allow sshd : 88.222.222.88 : allow sshd : 88.222.222.89 : allow sshd : ALL : deny
IP-urile 88.222.222.88, 88.222.222.89 trebuie inlocuite cu IP-urile Dvs.
4. Activare Two-factor authentication (2FA)
Two-factor authentication (2FA) este o metodă de autentificare puternică, care poate fi activată pentru a vă proteja contul cPanel împotriva accesului neautorizat. În loc să se bazeze doar pe parola utilizatorului, autentificarea în două etape necesită o a doua etapă de autentificare, cum ar fi un cod generat de o aplicație de autentificare sau primit prin SMS.
Activarea 2FA în cPanel este ușoară și poate fi realizată în câțiva pași simpli. Mai întâi, trebuie să vă autentificați în cPanel și să accesați secțiunea Two-Factor Authentication din meniul Security. De aici, puteți selecta opțiunea Set Up Two-Factor Authentication. cPanel suportă o gamă largă de metode de autentificare, inclusiv aplicații mobile de autentificare, cum ar fi Google Authenticator sau Authy.
5. Activează cPHulk Brute Force Protection
cPHulk Brute Force Protection este o caracteristică de securitate disponibilă în cPanel, care ajută la protejarea serverului împotriva atacurilor de tip brute force asupra conturilor de cPanel, a casutelor de email, a conturilor FTP și a altor servicii.
cPHulk monitorizează încercările repetate de conectare și blochează adresele IP care încearcă să intre în sistem prin metoda brute force.
cPHulk se poate activa din WHM -> Security Center -> cPHulk Brute Force Protection.
6. Activează un firewall suplimentar
Menținerea activă a firewall-ului este esențială pentru securitatea unui server cu cPanel, deoarece acesta blochează conexiunile nedorite la server. Pentru a asigura o protecție mai bună, este recomandată instalarea CSF – ConfigServer Security & Firewall.
ConfigServer Security & Firewall se poate instala din terminal rulând următoarele comenzi cu utilizatorul root:
cd /usr/src rm -fv csf.tgz wget http://download.configserver.com/csf.tgz tar -xzf csf.tgz cd csf sh install.sh
Ulterior instalarii ne conectam in WHM -> ConfigServer Security & Firewall -> Firewall Configuration si realizam urmatoarele setari:
Testing=off
RESTRICT_SYSLOG 3
DENY_IP_LIMIT 2000
DENY_TEMP_IP_LIMIT 1000
PT_USERRSS 1024 (RAM) (sau 0 daca nu dorim limitare)
PT_USERPROC 100 (sau 0 daca nu dorim limitare)
PT_USERMEM 500 (sau 0 daca nu dorim limitare)
PT_USERTIME 3800
PT_USERKILL 1 (ON)
PT_USERKILL_ALERT 0 (OFF)
Putem găsi o listă cu mai multe comenzi utile pentru CSF la acest articol.
În general, este important să luați în considerare toate aspectele de securitate disponibile și să le aplicați în mod corespunzător pentru a vă proteja serverul împotriva oricăror amenințări cibernetice.