Какво е WHM (Web Host Manager) и как да получите достъп до него

WHM (Web Host Manager) е административен контролен панел на ниво сървър, разработен от cPanel, LLC, който работи на уеб сървъри, базирани на Linux. Той предоставя достъп на ниво root и препродавач за управление на множество cPanel акаунти, конфигуриране на настройки за целия сървър, контрол на политики за сигурност и администриране на основни услуги като Apache, MySQL и DNS — всичко това чрез интерфейс, базиран на браузър. WHM работи на порт 2087 (HTTPS) и е административният аналог на cPanel, който служи като интерфейс за крайния потребител.

Ако управлявате среда за управляван хостинг, бизнес за хостинг препродавачи или самоадминистриран VPS Хостинг или Dedicated сървър с инсталиран cPanel/WHM, разбирането на архитектурата и методите за достъп на WHM е задължително за поддържане на работоспособност, сигурност и оперативна ефективност.

WHM срещу cPanel: Разбиране на архитектурната връзка

Честа причина за объркване е третирането на WHM и cPanel като взаимозаменяеми. Те не са такива. Те заемат различни нива на един и същи софтуерен стек.

WHM е административното ниво. cPanel е нивото на данните за отделните акаунти. Всеки cPanel акаунт се създава, конфигурира и управлява от WHM. Ако WHM е недостъпен, cPanel акаунтите продължават да обслужват трафик, но не могат да се правят административни промени на ниво сървър.

Основни технически възможности на WHM

Управление на акаунти и пакети

WHM използва концепция, наречена хостинг пакети (известни също като планове или списъци с функции), за да дефинира разпределението на ресурси — дискови квоти, ограничения на честотната лента, лимити за имейл акаунти, ограничения за бази данни и поддомейни — които се прилагат еднакво към cPanel акаунтите. Тази абстракция позволява на администраторите да управляват стотици акаунти, без да конфигурират всеки поотделно.

Основните операции включват:

• Създаване на cPanel акаунти с предварително дефинирани пакети или персонализирани ограничения на ресурсите
• Спиране и възстановяване на акаунти без загуба на данни, което е от решаващо значение за прилагане на правилата за фактуриране
• Прекратяване на акаунти с опционално запазване на данните
• Промяна на ограниченията на акаунта в реално време без повторно създаване на акаунта
• Прехвърляне на акаунти между сървъри с помощта на вградения инструмент за прехвърляне на WHM, който обработва DNS, имейл, бази данни и файлови структури атомарно

Често пренебрегвана възможност: Skeleton Directory на WHM (`/root/cpanel3-skel/`) позволява на администраторите да предварително попълват всеки нов cPanel акаунт с файлове по подразбиране, структури на директории или конфигурационни шаблони — полезно за агенции, разгръщащи стандартизирани WordPress или приложни среди в голям мащаб.

Архитектура на акаунти за препродавачи

WHM поддържа тристепенен модел на привилегии: root администратор, препродавачи и крайни потребители. Препродавачите получават подмножество от възможностите на WHM, ограничени до акаунтите, които притежават. Те могат да създават и управляват свои собствени cPanel акаунти, да задават ограничения на ресурсите в рамките на собственото си разпределение и да брандират интерфейса на cPanel — но не могат да получават достъп до или да засягат акаунтите на други препродавачи или конфигурациите на ниво сървър.

Тази архитектура е основата на бизнес модела за хостинг препродавачи и е пряко свързана с управлението на VPS с cPanel за предлагане на хостинг услуги на крайни клиенти.

Важен нюанс: препродавачите не получават root SSH достъп. Техният WHM достъп е ограничен до разрешенията на ACL (Access Control List), предоставени от root администратора. Неправилното конфигуриране на ACL е честа грешка в сигурността — предоставяне на препродавачи на повече привилегии от предвиденото, особено възможността за глобална промяна на DNS или достъп до конфигурацията на сървъра.

Администриране на сървъра и управление на услуги

WHM предоставя директен контрол върху основните услуги, на които се основава всеки хостван уебсайт:

• Конфигурация на Apache/LiteSpeed — промяна на глобални директиви, управление на шаблони за виртуални хостове, конфигуриране на PHP обработчици (suPHP, FastCGI, PHP-FPM) и превключване на PHP версии за всеки акаунт с помощта на MultiPHP Manager
• Администриране на MySQL/MariaDB — управление на глобални настройки на базата данни, изпълнение на MySQL надстройки и наблюдение на натоварването от заявки
• Управление на DNS клъстер — конфигуриране на WHM за участие в DNS клъстер, синхронизиране на zone файлове между множество nameserver-и за резервираност
• Конфигурация на Exim пощенски сървър — управление на настройките за SMTP relay, прагове за спам, RBL списъци и опашки за доставка
• Наблюдение на услуги — Service Manager на WHM позволява активиране, деактивиране и наблюдение на демони с политики за автоматично рестартиране

Детайл, който изненадва много администратори: EasyApache 4 (EA4) на WHM е инструментът за компилиране и конфигуриране на Apache и PHP. Превключването на PHP версии или добавянето на разширения (като `imagick`, `redis` или `memcached`) се извършва чрез EA4 профили, а не чрез мениджъра на пакети на операционната система. Опитът за инсталиране на PHP разширения чрез `yum` или `apt` без познаване на EA4 може да наруши конфигурацията на PHP обработчика на cPanel.

Център за сигурност

Центърът за сигурност на WHM обединява няколко критични контроли за защита:

• cPHulk защита от brute force атаки — ограничава скоростта на неуспешните опити за влизане в WHM и cPanel, с конфигурируеми прагове за блокиране и добавяне на IP адреси в белия списък
• Интеграция с CSF (ConfigServer Security & Firewall) — въпреки че CSF е плъгин на трета страна, той се интегрира дълбоко в потребителския интерфейс на WHM и е де факто решение за защитна стена за cPanel сървъри
• Двуфакторна автентикация (2FA) — WHM поддържа TOTP-базирана 2FA за влизане на root и препродавачи, което трябва да се третира като задължително, а не като опционално
• SSL/TLS Manager — инсталиране, управление и автоматично подновяване на SSL сертификати за целия сървър, включително поддръжка на Let’s Encrypt чрез AutoSSL
• SSH Password Authorization Tweak — деактивиране на SSH автентикация с парола от WHM без ръчно редактиране на `sshd_config`
• Контрол на достъпа до компилатора — ограничаване на достъпа до компилатори (gcc, cc) за предотвратяване на ескалация на привилегии чрез локално компилирани експлойти

Ако управлявате SSL сертификати за множество домейни, функцията AutoSSL на WHM може да автоматизира издаването и подновяването на Let’s Encrypt сертификати за всеки cPanel акаунт на сървъра, като напълно елиминира ръчното управление на сертификати.

Архитектура за резервно копиране и възстановяване

Системата за резервно копиране на WHM работи на две нива:

1. Конфигурация на резервното копиране в WHM (ниво root) — дефинира глобални графици за резервно копиране, политики за съхранение, настройки за компресия и дестинации за отдалечен транспорт (FTP, SFTP, S3-съвместимо хранилище, персонализирани скриптове чрез плъгини за транспорт на резервни копия)
2. Възстановяване за отделен акаунт — позволява възстановяване на отделни cPanel акаунти от пълно резервно копие на сървъра без възстановяване на целия сървър, което е от решаващо значение за минимизиране на щетите при загуба на данни на ниво акаунт

Честа архитектурна грешка: разчитане единствено на вградената система за резервно копиране на WHM без проверка дали резервните копия се транспортират извън сървъра. Резервните копия на сървъра не осигуряват никаква защита срещу повреда на диска, ransomware или катастрофална загуба на сървъра. Винаги конфигурирайте отдалечена дестинация за резервно копиране.

Управление на DNS

WHM управлява DNS на ниво сървър, използвайки BIND (named) или PowerDNS като основен resolver. Администраторите могат да:

• Създават, редактират и изтриват DNS зони за всички домейни на сървъра
• Конфигурират DNS клъстериране за автоматично репликиране на зони към вторични nameserver-и
• Управляват SPF, DKIM и DMARC записи за доставяемост на имейли за всички хоствани домейни
• Използват DNS Zone Editor за извършване на масови промени без SSH достъп

За хостинг среди, управляващи множество клиентски домейни, правилната DNS конфигурация в WHM — особено настройката на DKIM и SPF — пряко влияе върху доставяемостта на имейли за всички акаунти. Това е особено важно при съчетаване на хостинг, управляван от WHM, с dedicated решение за Имейл хостинг за бизнес-критични комуникации.

Как да получите достъп до WHM: Стъпка по стъпка

Стъпка 1: Съберете необходимите идентификационни данни

Преди да опитате достъп, потвърдете, че разполагате с:

• IP адрес или hostname на сървъра — публичният IPv4 (или IPv6) адрес на сървъра или разрешим hostname, сочещ към него
• Потребителско име — `root` за основния администратор; потребителско име на препродавач за достъп на ниво препродавач
• Парола — паролата на root или акаунта на препродавача
• 2FA токен — ако е активирана двуфакторна автентикация, подгответе приложението си за автентикация

Ако сте осигурили Dedicated сървър или VPS с предварително инсталиран cPanel/WHM, тези идентификационни данни обикновено се доставят по имейл при осигуряването или са достъпни чрез контролния панел на хостинга.

Стъпка 2: Изберете правилния URL за достъп

WHM е достъпен чрез следните формати на URL:

Основен HTTPS достъп (препоръчително):

“`

https://YOUR_SERVER_IP:2087/

https://your-domain.com:2087/

“`

HTTP достъп (резервен вариант, не се препоръчва за продукционна среда):

“`

http://YOUR_SERVER_IP:2086/

http://your-domain.com:2086/

“`

Достъп чрез пренасочване (разрешава се до порт 2087):

“`

https://YOUR_SERVER_IP/whm

https://your-domain.com/whm

“`

Заменете `YOUR_SERVER_IP` с действителния IP адрес на вашия сървър (напр. `https://198.51.100.42:2087/`). URL адресите, базирани на пренасочване, са удобни, но зависят от правилното обработване на пренасочването от уеб сървъра — използвайте URL адресите с изричен порт при отстраняване на проблеми.

Стъпка 3: Справете се с предупрежденията за SSL сертификат

На новоосигурен сървър WHM използва самоподписан SSL сертификат, издаден за hostname на сървъра. Браузърите ще показват предупреждение за сигурност, тъй като този сертификат не е подписан от доверен Certificate Authority (CA).

Това е очаквано поведение при първоначална настройка. За да продължите:

• Chrome/Edge: Кликнете „Разширени”, след което „Продължи към [hostname] (небезопасно)”
• Firefox: Кликнете „Разширени”, след което „Приемете риска и продължете”

За да премахнете това предупреждение за постоянно, инсталирайте валиден SSL сертификат за hostname на сървъра чрез секцията Manage Service SSL Certificates на WHM или конфигурирайте AutoSSL да издаде Let’s Encrypt сертификат за hostname на сървъра. Това е еднократна задача за настройка, която трябва да бъде изпълнена незабавно след осигуряването.

Стъпка 4: Автентикация

На страницата за влизане в WHM:

1. Въведете вашето потребителско име (`root` или потребителско име на препродавач)
2. Въведете вашата парола
3. Ако е активирана 2FA, въведете TOTP кода от вашето приложение за автентикация
4. Кликнете Log In

Успешната автентикация ви отвежда до таблото за управление на WHM. Неуспешната автентикация след множество опити ще задейства блокиране от cPHulk, ако е активирано — което трябва да бъде.

Стъпка 5: Навигация в таблото за управление на WHM

Таблото за управление на WHM е организирано в функционални секции, достъпни чрез навигационния панел вляво и лентата за търсене (която е най-бързият начин за достъп до всеки конкретен инструмент):

• Account Functions — създаване, изброяване, промяна, спиране и прехвърляне на cPanel акаунти
• Packages — дефиниране и управление на хостинг пакети, приложени към акаунти
• Resellers — създаване на акаунти за препродавачи, задаване на ACL разрешения и наблюдение на използването на ресурси от препродавачи
• Server Configuration — конфигуриране на настройки за целия сървър, включително hostname, nameserver-и и имейл за контакт
• Service Configuration — управление на конфигурациите на Exim, Apache, FTP и други демони
• Security Center — достъп до cPHulk, настройки за 2FA, управление на SSL и интеграция на защитна стена
• MultiPHP Manager — задаване на PHP версии и конфигурации на PHP-FPM за всеки домейн или акаунт
• Backup Configuration — конфигуриране на графици за резервно копиране, дестинации и съхранение
• WHM Plugins — инсталиране и управление на плъгини на трети страни за WHM (Softaculous, Imunify360, JetBackup и др.)

Отстраняване на проблеми с достъпа до WHM

Порт 2087 е недостъпен

Това е най-честият проблем с достъпа. Причини и решения:

• Защитната стена блокира порт 2087 — проверете дали защитната стена на сървъра (iptables, firewalld или CSF) има отворен порт 2087. Изпълнете `iptables -L -n | grep 2087` или проверете `/etc/csf/csf.conf` на CSF за правила `TCP_IN`. Също така проверете дали външната защитна стена или групата за сигурност на вашия хостинг доставчик (ако е приложимо) позволява порт 2087.
• Услугата cpsrvd не работи — WHM се обслужва от демона `cpsrvd`. Ако е спрян, достъпът е невъзможен. Рестартирайте го чрез SSH: `service cpsrvd restart` или `/usr/local/cpanel/scripts/restartsrv_cpsrvd`
• IP адресът се е променил — ако IP адресът на сървъра се е променил (напр. след мрежова реконфигурация), актуализирайте URL адреса за достъп съответно

Неуспешна автентикация и блокирания

• Блокиране от cPHulk — ако вашият IP е блокиран от cPHulk след неуспешни опити за влизане, добавете IP адреса си в белия списък чрез SSH: редактирайте `/etc/cphulk/whitelist` или използвайте WHM API. Алтернативно, временно деактивирайте cPHulk: `whmapi1 set_cphulk_config enabled=0`
• Влизането с root е деактивирано — някои защитени конфигурации деактивират директното влизане в WHM с root. В този случай използвайте потребител с sudo права или повторно активирайте влизането с root чрез SSH и конфигурацията на cPanel
• Забравена root парола — нулирайте чрез SSH с `passwd root` или чрез конзолата за извънлентов достъп на вашия хостинг доставчик (IPMI/KVM), ако SSH достъпът също е недостъпен

Проблеми с SSL и браузъра

• Смесено съдържание или пренасочващи цикли — възникват при достъп до WHM чрез обратен прокси или CDN. WHM трябва да се достъпва директно чрез IP адреса на сървъра или hostname, който се разрешава директно до сървъра, а не чрез Cloudflare или подобни прокси сървъри
• Несъответствие на hostname в сертификата — самоподписаният сертификат е издаден за конфигурирания hostname на сървъра. Ако достъпвате WHM чрез IP адрес, предупреждението за несъответствие на hostname е неизбежно, докато не бъде инсталиран подходящ сертификат
• Кеш на браузъра — остарелите бисквитки на сесията могат да причинят пренасочващи цикли. Изчистете данните на сайта специално за URL адреса на WHM или използвайте прозорец в режим инкогнито/частен

WHM се зарежда, но функции липсват

• Ограничения на ACL за препродавачи — ако сте влезли като препродавач и определени функции липсват, root администраторът е ограничил тези функции чрез ACL. Свържете се с root администратора за коригиране на разрешенията.
• Проблеми с лиценза — cPanel/WHM изисква валиден лиценз, обвързан с IP адреса на сървъра. Изтекъл или невалиден лиценз кара WHM да влезе в ограничен режим. Проверете статуса на лиценза на `https://verify.cpanel.net/`

Контролен списък за укрепване на сигурността на WHM

Работата с WHM на продукционен сървър без укрепване на сигурността е значителен риск. Приложете тези мерки незабавно след осигуряването:

• Активирайте 2FA за root и всички акаунти на препродавачи — WHM Security Center > Two-Factor Authentication
• Активирайте cPHulk с агресивни прагове и добавете административните си IP адреси в белия списък
• Деактивирайте влизането с root парола чрез SSH — използвайте изключително SSH автентикация с ключ
• Инсталирайте CSF/LFD и го конфигурирайте да блокира скенери за портове, опити за brute force и изходящ SMTP от процеси, различни от пощенски
• Конфигурирайте AutoSSL за издаване на валидни Let’s Encrypt сертификати за hostname на сървъра и всички хоствани домейни
• Ограничете достъпа до компилатора — WHM Security Center > Compiler Access
• Активирайте ModSecurity чрез EasyApache 4 с надежден набор от правила (OWASP CRS или Imunify360)
• Задайте политика за силни пароли — WHM Security Center > Password Strength Configuration
• Редовно проверявайте ACL на препродавачите — премахвайте разрешения, които не са изрично необходими
• Конфигурирайте отдалечен транспорт за резервни копия — никога не съхранявайте единственото копие на резервните копия на същия сървър

Матрица за решения: Кога да използвате WHM срещу алтернативи

Основни технически изводи

• WHM работи на порт 2087 (HTTPS) и 2086 (HTTP); уверете се, че тези портове са отворени както в защитната стена на ниво операционна система, така и в евентуална мрежова защитна стена нагоре по веригата
• Демонът `cpsrvd` трябва да работи, за да е достъпен WHM; това е първото нещо, което трябва да проверите, когато WHM е недостъпен
• Никога не работете с WHM без 2FA на root акаунта — порт 2087 се сканира активно от автоматизирани ботове
• AutoSSL елиминира ръчното управление на сертификати за всички хоствани домейни; конфигурирайте го незабавно след осигуряването
• ACL на препродавачите е основният механизъм за делегиране на административен достъп без предоставяне на root права — проверявайте ги редовно
• EasyApache 4 е правилният инструмент за управление на PHP версии и разширения; заобикалянето му с мениджъри на пакети на операционната система нарушава конфигурацията на обработчика на cPanel
• Отдалеченият транспорт за резервни копия не е опционален в продукционна среда — резервните копия на сървъра създават фалшиво усещане за сигурност
• Възможността за DNS клъстериране на WHM е от съществено значение за всяка многосървърна среда, изискваща резервираност на nameserver-ите

Често задавани въпроси

Каква е разликата между WHM и cPanel?

WHM е административният интерфейс на ниво сървър, използван от root администратори и препродавачи за създаване и управление на cPanel акаунти, конфигуриране на сървърни услуги и контрол на политики за сигурност. cPanel е интерфейсът на ниво акаунт, използван от отделни собственици на уебсайтове за управление на техните файлове, бази данни, имейл и домейни. WHM създава и управлява cPanel акаунти; cPanel не може да управлява други акаунти или настройки за целия сървър.

Кой порт използва WHM и може ли да бъде променен?

WHM използва порт 2087 за HTTPS и порт 2086 за HTTP по подразбиране. Портът се определя от демона `cpsrvd` и не може да бъде конфигуриран към произволен порт чрез стандартния интерфейс на WHM. Ако порт 2087 е блокиран от защитна стена, URL адресите за пренасочване (`/whm`) също ще се провалят, тъй като се разрешават до същия порт.

Може ли WHM да бъде достъпен без root идентификационни данни?

Да. Акаунтите на препродавачи имат достъп до WHM, ограничен до разрешенията, предоставени от root администратора чрез Access Control Lists (ACL). Препродавачите могат да влизат в WHM с тяхното потребителско име и парола и да управляват само cPanel акаунтите под тяхна собственост.

Защо WHM показва предупреждение за SSL сертификат при първи достъп?

По подразбиране WHM използва самоподписан SSL сертификат, издаден за hostname на сървъра. Тъй като този сертификат не е подписан от доверен Certificate Authority, браузърите показват предупреждение за сигурност. Това е очаквано и безопасно за заобикаляне по време на първоначалната настройка. Постоянното решение е да инсталирате валиден SSL сертификат за hostname на сървъра с помощта на AutoSSL на WHM или чрез ръчно инсталиране на сертификат чрез Manage Service SSL Certificates.

Какво трябва да направя, ако WHM е недостъпен след рестартиране на сървъра?

Първо, проверете дали услугата `cpsrvd` е стартирала правилно, като се свържете чрез SSH и изпълните `service cpsrvd status`. Ако не е успяла да стартира, проверете `/usr/local/cpanel/logs/error_log` за диагностичен изход. Също така потвърдете, че правилата на защитната стена за порт 2087 са възстановени след рестартирането — някои конфигурации на защитна стена не се запазват след рестартиране без изрични команди за запазване (`service iptables save` или `csf -r`).