所有网络托管提供商都支持完整的 FTP 访问,但许多不支持 SFTP。 但他们如何确保 FTP 安全? FTP 以明文方式发送信息(密码等)。
一位托管服务提供商的销售/支持人员告诉我,由于用户可以通过 CPanel 单独访问 FTP 帐户,因此使用 FTP 访问用户的网站目录是安全的。
这是真的吗?
SSL 问题:
我还想在我托管的自定义 wordpress 网站的管理员登录中使用 SSL。这涉及到什么?我知道可以配置这个 http://codex.wordpress.org/Administration_Over_SSL 但是提供的虚拟主机需要支持SSL吗?是否需要证书等,由谁提供?
最佳答案
如果您可以被动地嗅探流量,您会清楚地看到 FTP 用户使用的用户名和密码,除非客户端使用 FTPS。这是关于使用普通 telnet(而不是 SSH)或授权访问不受 TLS 保护的邮件服务器(大多数提供商现在提供 TLS)所获得的安全性。
一旦您获得凭据,您就可以破坏该帐户。这不仅会删除数据(即拒绝服务),还会获取任何敏感数据、操纵数据以传播虚假信息等。如果凭据也可用于 SSH,则攻击者可以以非特权用户身份登录系统并从那里登录整个系统的妥协通常并不遥远。此外,相同的凭据通常用于访问用户的电子邮件,因此您也可以妥协。
这意味着,是的,它是完全不安全的。
除此之外,不要混淆 FTPS 和 SFTP。 FTPS 是扩展了 TLS 的 FTP 协议(protocol),而 SFTP 是基于 SSH 的文件传输。某些客户端(如 FileZilla)同时支持两者,如果您可以选择,则更喜欢 SFTP,因为它对防火墙的影响要小得多。
关于wordpress - Web 托管提供商支持完整的 FTP 访问,但它安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26008563/