Seberapa Amankah Control Web Panel (CWP)?
Bertanya “seberapa aman Control Web Panel (CWP) ?” penting ketika mempertimbangkan panel hosting web.
Sangat mudah untuk mengatakan bahwa CWP cukup aman untuk bisnis kecil dan menengah. Tetapi jawaban terbaik adalah bahwa itu tergantung pada apakah Anda:
Gunakan praktik keamanan terbaik terbaru
Pahami permukaan serangan cyber Anda, dan
Audit log keamanan dengan benar untuk cara yang lebih baik dalam memperkuat lingkungan Anda
Ini bahkan lebih relevan ketika Anda menyadari bahwa CWP, bahkan ketika itu dikenal sebagai “CentOS Web Panel,” hampir tidak sepopuler Plesk dan panel kontrol Linux berpemilik lainnya.
Banyak penawaran hosting yang memberikan harga murah tapi anda harus mempertimbangkan keamanan control panel web anda, gunakan hosting handal dan aman di Rumahweb.com yang terpercaya yang telah berpengalaman lebih dari 20 tahun karena mudahnya memulai bisnis digital bersama rumahweb jadi lebih mudah.
Di bawah ini kami akan membahas hal-hal penting yang perlu dipertimbangkan ketika mengenai seberapa aman hosting server CWP sebenarnya.
Masalah Keamanan Umum Yang Perlu Dipertimbangkan
CWP memiliki versi gratis dan premium – CWPpro.
Kami sudah tahu selama bertahun-tahun bahwa “gratis” terkadang datang dengan pamrih. Ingat pepatah berusia puluhan tahun:
“Jika Anda tidak membayar untuk produk, Anda adalah produknya.”
Itu bisa datang dalam bentuk perangkat lunak yang mengumpulkan data penggunaan Anda untuk mempelajari cara meningkatkan produk mereka atau, dalam skenario terburuk, spyware atau perangkat lunak berbahaya lainnya yang tidak Anda inginkan.
Namun, terkadang “gratis” benar-benar berarti tidak ada biaya. Ini menjelaskan CWP. Administrator sistem yang berpengalaman memiliki keterampilan untuk mengelola server web hanya dengan Secure Shell (SSH) – terminal. Tetapi sysadmin yang sibuk atau junior mungkin lebih memilih antarmuka web untuk kemudahan penggunaan yang lebih besar, terutama jika memberikan akses kepada pengguna lain untuk mengelola data mereka sendiri.
CWP dikembangkan sehingga tugas sistem yang penting dapat diselesaikan dengan aman oleh pengguna yang berwenang setelah langkah-langkah otentikasi yang dapat diandalkan. Oleh karena itu, Anda dapat menonaktifkan akses shell dan lebih mudah menentukan apa yang dapat dilakukan setiap pengguna di dasbor.
Meninjau Laporan Kerentanan Keamanan CWP
Popularitas perangkat lunak tertentu cenderung membuat lebih banyak perhatian dari penjahat cyber sebagai potensi keuntungan dalam peningkatan data yang dicuri. Pikirkan seberapa sering Anda mendengar tentang virus Windows versus di FreeBSD. Namun, CWP tampaknya tidak sering menjadi sasaran dilihat dari National Vulnerability Database (NVD).
CWP Common Vulnerabilities and Exposures (CVEs) terbaru dilaporkan pada 22 Januari 2022 (tiga bulan sebelum rilis blog ini) oleh The Hacker News. Kerentanan kunci API yang tidak aman (CVE-2021-45466) dan kerentanan inklusi file (CVE-2021-45467) dilaporkan dapat digunakan untuk serangan eksekusi kode jarak jauh (RCE). Untungnya, ini hanya pembuktian konsep, artinya ini dilakukan sebagai eksperimen. Tidak ada laporan publik tentang eksploitasi ini yang digunakan di alam liar. Laporan awal sendiri bahkan menyatakan bahwa tidak mudah untuk dieksekusi dan tidak mengekspos banyak data.
Namun, CWP merilis tiga pembaruan keamanan dalam waktu dua minggu setelah laporan, menurut changelog mereka . Itu indikasi yang baik bahwa pengembang CWP memperhatikan laporan bug keamanan dan serius tentang keamanan siber.
Shodan dilaporkan mengatakan kepada SecurityWeek bahwa ada peningkatan bertahap dalam instalasi CWP selama beberapa tahun terakhir. Jadi mungkin akan segera ada titik di mana penyerang dunia maya secara langsung menargetkan CWP. Tapi itu tampaknya bertahun-tahun lagi seperti sekarang.
Untuk beberapa konteks, ada tujuh CVE inti WordPress dari tahun ini menurut WPscan.com.
Apakah CWP Terkini Dengan Standar Keamanan?
Protokol keamanan server terbaru yang harus dibantu oleh CWP dalam penerapannya adalah ekstensi keamanan DNS (DNSSEC), HTTP/3 , dan catatan TXT umum.
Sampai sekarang, DNSSEC pada server CWP harus dikonfigurasi secara manual dengan file DNS BIND mentah. Jadi itu mungkin untuk dilakukan, tetapi CWP tidak akan membantu apa pun untuk tugas itu seperti sekarang.
HTTP/3, seperti halnya HTTP/2, bergantung pada dukungan perangkat lunak server web sebelum panel kontrol dapat membuat tombol untuk mengaktifkannya. Apache, server web paling populer, belum mendukung HTTP/3. Tetapi dibutuhkan kurang dari lima menit untuk mengaktifkan HTTP/2 dengan NGINX di CWP dan ada dukungan untuk LiteSpeed.
Namun, satu set fitur penting yang hilang dari CWP adalah panduan untuk membuat data TXT yang paling umum:
Email Identifikasi DomainKeys (DKIM)
Kerangka Kebijakan Pengirim (SPF)
Pelaporan dan Kesesuaian Otentikasi Pesan Berbasis Domain (DMARC)
Tidak ada menu tarik-turun untuk membantu Anda memilih antara tag yang diizinkan atau menyadari kesalahan apa pun. Itu hanya kotak teks besar. Anda harus menggunakan cara lain untuk memastikan Anda telah menulis catatan DNS dengan benar dan cukup aman untuk memenuhi kebutuhan Anda.
Misalnya, ambil Indikator Merek untuk Identifikasi Pesan (BIMI), yang pada dasarnya adalah catatan TXT yang menautkan ke versi khusus logo Anda. Saat Anda mengirim email, penyedia email penerima memeriksa data DKIM, SPF, dan DMARC Anda. Jika cocok dengan info header email Anda, data DNS BIMI akan mendorong logo BIMI Anda untuk ditampilkan di samping alamat email Anda dalam mendukung penyedia hosting email. Ini menunjukkan bahwa email tersebut sah untuk membantu mengurangi serangan kompromi email bisnis (BEC).
Keren, kan? Nah, tantangannya adalah saat mempelajari cara membuat data BIMI di CWP, Anda harus memeriksa apakah data DKIM, SPF, dan DMARC Anda juga benar. Belum lagi mempelajari cara membuat format Tiny SVG yang tepat untuk logo Anda.
Kemampuan Pengerasan Server CWP
CWP memenuhi dasar-dasar alat keamanan yang diharapkan yang mengotentikasi pengguna yang mencoba mengakses aplikasi. Halaman Keamanan Login Pengguna memungkinkan Anda membatasi jumlah upaya login yang gagal. CWP juga memungkinkan Anda untuk:
Buat sertifikat SSL dengan AutoSSL
Lindungi dari serangan login brute force
Buat dan jadwalkan pencadangan
Batasi proses untuk pengguna
Alihkan akses Secure Shell (SSH)
Hampir semua hal lain yang terkait dengan keamanan harus ditangani di luar fitur CWP asli, dari emulator terminal CWP atau SSH, atau dengan perangkat lunak pihak ketiga.
Plugin Keamanan Server CWP
CWP memudahkan untuk menginstal plugin anti-malware yang diperlukan untuk memenuhi kebutuhan rata-rata pengguna untuk perlindungan malware Linux:
Pemindai malware Maldet + ClamAV
Pemindai rootkit Rkhunter
Keamanan & Firewall ConfigServer (CSF)
Auditor keamanan sistem Lynis
Pemindai symlink
Firewall aplikasi web ModSecurity (WAF)
Pembela PHP dengan Snuffleupagus untuk pengerasan PHP
Pemindai virus mencari aplikasi Anda, sistem operasi (OS), dan bahkan kernel untuk file dan perubahan yang mencurigakan. Firewall menutup port jaringan yang tidak dibutuhkan dan mengurangi serangan penolakan layanan (DoS) yang dapat menyebabkan perpanjangan waktu henti. Pelajari lebih lanjut tentang pemindai keamanan CWP .