近日國內某主機商為歡慶成立九週年而推出多項活動,其中之一就是將虛擬主機的每月流量提升至 400G 。如此流量若是搭配 CloudFlare 等 CDN 服務,運行三五個中小型網站大多不是問題。因此有些使用者先向主機商承租後再分租他人,但撿到便宜的分租者事實上正身陷風暴而不自知。
採用 cPanel 管理介面的 Linux 虛擬主機,要運行其他網站是很容易的。例如運行 3sidea.com 的虛擬主機,若要額外運行 cleanwind.me 網站,只要設定好 NameServer ,並於「附加網域 (Addon Domain) 」新增網域名稱、根目錄、FTP 帳號與密碼即可。網域附加完成後,也能透過 cPanel 後臺建立如 me@cleanwind.me 的電子郵件信箱。
然而上述過程卻有個極其嚴重的資安漏洞,由於每一個「附加網域」皆屬同一個 cPanel 主帳號之下,因此任一分租者都能透過 PHP 程式瀏覽、修改其他分租者的網站內容。簡言之網站的原始碼、資料庫與信件都處於洩漏的風險之中;此外更有可能遭到惡意的篡改,無論是導向至其他網站,或植入惡意的程式碼竊取使用者資訊。
除了資訊安全的風險外,主機服務提供商為了保障其他客戶的使用權,也會控制每個 cPanel 帳號 CPU 的運算資源。因此若有分租者使用過多的 CPU 資源,則所有分租者的網站都將暫時被禁止瀏覽。
因此往後若有承租網站空間的需求時,務必確認是否為實體主機、VPS主機或具有獨立 cPanel 的虛擬主機,才能確保網站的資訊安全與順利運行。