Uso BlueHost e ho alcuni siti Web sul mio hosting. Ho deciso di smettere di essere pigro e di iniziare a implementare alcune migliori politiche di sicurezza da parte mia.
Poiché FTP non è sicuro, ho cambiato in SFTP. La cosa strana è che BlueHost non mi consente di eliminare due account FTP sul mio account BlueHost. Se questi due account non vengono mai utilizzati, rappresentano ancora un rischio per la sicurezza?
La risposta breve, non sfumata è "Sì". Anche se i conti non sono utilizzati, c'è ancora il rischio di forza bruta.
Una risposta più lunga sarebbe "Sì, ma si può ridurre notevolmente il rischio". So che hai detto che sei passato a SFTP, ma non sono chiaro se hai completamente disabilitato il servizio FTP. Una buona parte del rischio qui può essere mitigata se sei in grado (o già hai) di rafforzare il server disabilitando FTP.
Inoltre, se questi solo utenti hanno la possibilità per l'accesso FTP, ridurrai ulteriormente il rischio. Sarà difficile sfruttare gli account FTP se non è in esecuzione alcun servizio FTP e gli account possono accedere solo a FTP.
Non ho eseguito nulla su Bluehost, quindi non so quanto controllo ti diano rispetto a quanto sopra.
Sì, rappresentano un rischio. Se qualcuno è riuscito a forzare le password, potrebbe esserci una vulnerabilità nel software che consente agli utenti di ottenere l'accesso a file a cui non dovrebbero essere in grado di accedere o persino fare una sorta di escalation dei privilegi e ottenere il controllo del processo e possibilmente il sistema. Anche se non è probabile, è possibile.
Se non puoi disabilitare FTP o gli account, rendi le password super lunghe e complicate in modo che sia improbabile che vengano forzate brute.
Leggi altre domande sui tag ftp webserver sftp account-security