10 Dicas essenciais para manter seu servidor do cPanel seguro
Na cPanel Conference 2013, o futuro da hospedagem de sites foi debatido – e segurança é uma das principais questões a serem discutidas. Segurança, afinal, nunca é demais. Na era da informação, as opções para segurança aumentam exponencialmente à medida que são criados novos tipos de ataques que podem ser realizados contra servidores.
Um ataque contra seu servidor do cPanel coloca a integridade dos dados do website em risco, o que pode ocasionar queda de tráfego, perda de clientes e, consequentemente, posições baixas no ranking dos principais buscadores da Internet.
Para evitar esses ataques, recomendamos o back up remoto diário das contas do cPanel e listamos abaixo outras dez dicas simples que aumentam a segurança de seu servidor e representam, dentre tantas opções, algumas das prevenções mais eficazes.
Para colocar em prática, recomendo que siga as dicas passo-a-passo, principalmente se você não tiver familiaridade com o cPanel.Vamos às dicas =)
1. Atualizar o cPanel
Através do caminho WHM > cPanel > Upgrade to Latest Version ou da linha de comando # /scripts/upcp –force, você consegue verificar se possui a versão mais atualizada do cPanel. Com ela, estão todas as novas medidas de segurança adotadas pelo cPanel, o que ajuda a prevenir contra os ataques ao seu servidor.
Recomendamos que você permita que o cPanel atualize automaticamente. Para fazê-lo, acesse WHM > Server Configuration > Update Preferences. Dessa forma, não é necessário fazer a checagem por atualizações tão frequentemente.
2. Assegurando cPanel e o Acesso WHM
Quando estiver inseguro com sua conexão, lembre-se de ativar o SLL para assegurar os painéis de controle. Caso contrário, seu nome de usuário e senha serão enviados em forma de texto pela Internet. Para ativar o SLL, basta seguir até Server Configuration > Tweak Settings.
3. Assegurando o SSH
Dentre os serviços do cPanel, o SSH é um dos mais vulneráveis e propensos a ataques. Para assegurá-lo, basta mudar a porta de acesso. Faça o seguinte: estabeleça a conexão SSH, edite o arquivo de configuração inserindo a linha de código # nano /etc/ssh/sshd_config e modifique a porta de acesso, do padrão Port 22 para o Port 22200. Em seguida, desabilite o root login (login de origem) do SSH alterando as linhas de comando de #PermitRootLogin yes para #PermitRootLogin no. Salve os arquivos e reinicie o comando SSH com o código # service sshd restart.
4. Assegurando Apache e PHP
Através do EasyApache, você pode construir e compilar o Apache e o PHP. Para manter a segurança, primeiramente baixe a versão mais atual do programa. Para fazê-lo, siga o caminho Softwares > EasyApache (Apache Update) e selecione “Previously Save Config” logo na primeira página para manter suas configurações atuais. Em seguida, clique em “Start customizing based on profile”. Selecione a versão mais atual do programa, atualmente a EasyApache 2.4.6, e para a versão do PHP, faça o mesmo (a versão mais atual no momento é a PHP 5.4.20). Na próxima página, clique em “Exhaustive Options List” e selecione as seguintes opções: “Mod SuPHP”, “Mod Security” e “Save my profile with the appropriate PHP 5 options…”. Mantenha as outras opções como estão. Por fim, clique em “Save and build”.
Depois disso, configure o suPHP para ser o principal contato do PHP. Dessa forma, todos os scrips pertencerão à conta do administrador ao invés da conta do EasyApache. Para habilitar o suPHP, vá até WHM > Service Configuration > Configure PHP and suEXEC, selecione “suphp” e clique em “Save New Configuration”.
Para prevenir contra scripts maliciosos no PHP, habilite o open_basedir pelo caminho WHM>Security Center >Security Center> PHP open_basedir Tweak. Outras configurações interessantes são a register_globals: Off e a disable_functions: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen, que podem ser acessadas através das opções avançadas do EasyApache.
Lembrando que todas as alterações citadas nesse ponto só surtirão efeito após a reinicialização do EasyApache em WHM > Restart Services > HTTP Server (Apache).
5. Desabilitando o acesso anônimo ao FTP
Para impedir que usuários anônimos façam uploads em seu servidor, siga até WHM > Service Configuration > FTP Server Configuration e coloque a opção “No” em “Allow Anonymous Logins” e em “Allow Anonymous Uploads”.
6. Aumentar a segurança das senhas
Indo até WHM > Security Center > Password Strength Configuration, você consegue exigir que seus usuários criem combinações de senhas mais complexas e que aumentam a proteção do servidor.
7. Habilitando CPHULK
O CPHULK protege seu servidor contra ataques bloqueando IPs desconhecidos e suspeitos por um período previamente determinado. Para habilitar o CPHULK, vá até WHM > Security Center > CPHulk Brute Force Protection e selecione “Enable”.
8. Instalando o antivírus Clamav
Mesmo que seu servidor não esteja infectado, ele pode hospedar um vírus que pode infectar seus visitantes. Para evitar isso, é recomendada a instalação do antivírus Clamav. Para fazê-lo, basta seguir o passo-a-passo: vá até WHM > cPanel > Manage Plugins, selecione “Install and keep updated” próximo ao Clamav e clique em “Save”. Após a instalação ser completada, reinicie o painel de controle do WHM para que o menu principal seja atualizado. Em seguida, vá até WHM > Plugins > Configure ClamAV Scanner e selecione as quatro opções exibidas na janela. Para finalizar, clique em “Save”.
9. Instalando um identificador de Rootkit
Um Rootkit é uma espécie de programa de computador malicioso que é instalado em seu servidor sem que você perceba. Ele é operado em “modo invisível”, o que potencializa ainda mais seus ataques, já que você é incapaz de sequer nota-lo.
Para instalar um identificador de Rootkit, como o Rootkit Hunter, basta fazer o seguinte.
- entre no SSH e insira a linha de código # su – root
- baixe a última versão do rkhunter aqui
- extraia o arquivo # tar xvzf rkhunter-1.4.0.tar.gz
- carregue o instalador com os códigos # cd rkhunter-1.4.0 e # ./installer.sh –install
- preencha o banco de dados das propriedades com # rkhunter –propupd
- por fim, para fazer o escaneamento do servidor, insira o código # rkhunter –check
10. Instalando um Firewall
Recomendamos o ConfigServer Security and Firewall. Além de escanear os logs de autenticação em busca de ameaças em potencial, esse firewall dá diversas dicas que ajudam a aumentar a segurança do servidor. Para instalar o CSF, basta inserir os códigos abaixo:
rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
Através do caminho WHM > Plugins > ConfigServer Security&Firewall, você consegue acessar as dicas de segurança do Firewall. Lembre-se também de abrir a nova porta de acesso definida anteriormente, caso contrário o CSF irá bloqueá-la. Vá até WHM > Plugins > ConfigServer Security&Firewall > Firewall Configuration, localize o parâmetro chamado TCP_IN e adicione a porta de acesso SSH (port 22000) à lista.
Você já sofreu com algum tipo de ataque contra seu cPanel? Alguma medida adotada por você ajudou a evitar novos ataques? Quais outras dicas você sugere para que a segurança dos servidores aumente?
Não deixe de participar do Dicas através dos comentários!
Deixe um comentário para Gilson Cancelar resposta