Para los recién llegados a la creación de sitios web de alojamiento VPS, siempre recomiendo utilizar el panel de control de alojamiento VPS. Actualmente hay muchos paneles de control de host VPS gratuitos en el mercado. Muchos amigos que acaban de pasar de hosts virtuales a VPS no están muy familiarizados con los comandos. El panel de control de host VPS es fácil de usar y puede mejorar en gran medida la eficiencia del trabajo.
Sin embargo, una posibilidad fatal de utilizar un panel de control VPS gratuito es que existen problemas de seguridad. La "vulneración de seguridad de VestaCP provocó que cientos de servidores de Digital Ocean se convirtieran en máquinas de carne" que ha quedado expuesta en los últimos días se ha comentado en <bpt0. > El foro del sitio web oficial de VestaCP y el foro lowendtalk explotaron y muchos usuarios comenzaron a quejarse de los problemas de seguridad de VestaCP.
Según un mensaje de mi amigo baoang, se descubrió que el popular panel de control de Linux VestaCP tiene una vulnerabilidad de día cero. En términos generales, es posible que alguien haya insertado trucos en el REPO del programa del panel antes de su lanzamiento, así que no importa cómo. Si el usuario lo instala, habrá problemas. El código interno se ejecuta con privilegios de root después de la instalación y utilizará el VPS como un bot para atacar externamente en un momento específico.
Teniendo en cuenta que muchos usuarios han probado el panel VestaCP después de ver la introducción de la exploración de sitios web, le recomendamos encarecidamente que haga una copia de seguridad de sus datos rápidamente (sería mejor si tuviera una copia de seguridad previa para evitar que los archivos del sitio web actual o la base de datos se infecten). Reinstale el sistema VPS, reinstale e instale la última versión de VestaCP y preste mucha atención a los últimos desarrollos de VestaCP.
Me gustaría aprovechar esta oportunidad para compartir con usted cómo garantizar la seguridad y confiabilidad de su propio servidor mientras utiliza el panel de control de alojamiento VPS gratuito. Aquí hay más herramientas de creación de sitios web:
- Tres herramientas de comando: Rsync, SCP y Tar-quick, solución para la reubicación remota de sitios web y sincronización de datos de VPS
- Lsyncd crea un espejo de sincronización: use Lsyncd para lograr la sincronización en tiempo real entre servidores locales y remotos
- Linux VPS monta Google Drive y Dropbox: realiza la sincronización y copia de seguridad de los datos del host VPS
1. Siga el foro oficial y actualice las vulnerabilidades del parche.
Qi ha creado anteriormente un tema resumido del panel de control del host VPS: Lista del panel de control del servidor. Puede prestar más atención al panel VPS que utiliza. En términos generales, el foro oficial será el primero en publicar parches y procedimientos de actualización del panel. parches y actualizaciones de manera oportuna son la forma más rápida de reducir las pérdidas.
2. Fortalezca su propia seguridad y revise los registros periódicamente
Muchas personas suelen ignorar la seguridad del servidor en sí. De hecho, no importa cuán bueno sea el panel de control del VPS, si la seguridad del VPS en sí no es lo suficientemente buena, será en vano. Para fortalecer la seguridad del servidor en sí, es mejor elegir un proveedor de VPS confiable y de renombre. Para referencia de evaluación relevante: Lista de clasificación de hosts de VPS.
Si hay un problema con el panel de control de VPS, puede ver pistas en los registros del sitio web. Aquí se recomiendan dos herramientas de análisis de registros y herramientas de monitoreo del rendimiento. Una vez que el servidor es pirateado, básicamente puede ver información anormal en el cuadro de registro + monitoreo del rendimiento, lo que nos ayuda a localizar rápidamente el problema.
- Herramientas de análisis de registros del servidor: ngxtop y GoAccess: monitoreo en tiempo real y administración visual para encontrar rápidamente la fuente de anomalías
- Sonda PHP gratuita de código abierto x-prober y excelente herramienta de monitoreo en tiempo real del rendimiento del servidor Linux Netdata
3. Realice copias de seguridad de los datos e implemente la recuperación ante desastres fuera del sitio
Es necesario desarrollar un buen hábito de realizar copias de seguridad periódicas de los datos del sitio web. Los amigos que tengan las condiciones también pueden implementar un plan de copia de seguridad de recuperación ante desastres fuera del sitio. En resumen, los datos no tienen precio una vez que el servidor es pirateado, los datos normales del sitio web anterior. se puede restaurar en el menor tiempo.
En cuanto a la copia de seguridad de sincronización, aquí hay varios métodos automatizados:
- Linux VPS monta Google Drive y Dropbox: realiza la sincronización y copia de seguridad de los datos del host VPS
- Tres formas de compartir directorios de carpetas en Linux: montaje remoto NFS, almacenamiento compartido GlusterFS y directorios compartidos samba
- VPS monta discos de red nacionales y extranjeros para lograr herramientas de expansión gratuitas: Rclone, COS-Fuse y OSSFS
4. Verifique el código del programa y detecte y elimine troyanos periódicamente.
Si está utilizando WordPress, se recomienda no utilizar temas de WordPress pirateados o descifrados, complementos no oficiales, etc. Es probable que estos temas o complementos tengan código malicioso implantado de antemano. Los amigos novatos pueden comprobar periódicamente los archivos de programa de su sitio web en busca de virus para asegurarse de que no haya problemas.
¿Cómo puedo saber si mi servidor tiene vulnerabilidades o troyanos? La forma más directa es verificar el proceso del servidor y el uso del puerto en tiempo real. Los comandos relevantes son los siguientes:
- Resumen de los comandos de monitoreo del sistema Linux: CPU maestra, memoria, E/S de disco, etc. para encontrar cuellos de botella en el rendimiento
5. Renuncie a lo gratuito y cambie a comandos pagos o puros
Si tiene dinero, se recomienda utilizar un panel de control VPS de pago. Para un panel como WHMCS, es aún más importante utilizar uno de pago. Después de todo, la seguridad es lo más importante. competente. Si tiene la capacidad, se recomienda que usted mismo instale manualmente Nginx, MysqL, PHP y otros kits de creación de sitios web, lo cual es seguro.
Si desea utilizar scripts LNMP y LAMP puramente imperativos para crear un sitio web, le recomendamos los dos siguientes:
- Script de instalación con un solo clic de OneinStack: implemente fácilmente el certificado Let's Encrypt y configure el sitio HTTPS
- Herramienta de creación de sitios web Linux VPS Instalación y uso de LNMP 1.4: renovación automática de configuración SSL y soporte PHP multiversión
6. Resumen
En cuanto al tema de elegir un panel de control VPS gratuito, ya sea nacional o extranjero, habrá más o menos problemas de seguridad. Se recomienda no utilizar aquellos paneles VPS que llevan mucho tiempo sin actualizar la web oficial y no tienen. uno debe mantenerlo, porque una vez que algo sale mal, es básicamente una actitud de "auto-rescate".
Para los veteranos, se recomienda deshacerse de la influencia del panel VPS lo antes posible. No importa cuán poderosa sea la función del panel VPS, siempre que esté dispuesto a lanzarla, puede usar comandos manualmente para lograrlo. Además, los scripts puramente imperativos también tendrán problemas, como vulnerabilidades de openssl, vulnerabilidades de Nginx, etc., que requieren atención.