Czym jest WHM (Web Host Manager) i jak uzyskać do niego dostęp

WHM (Web Host Manager) to administracyjny panel sterowania na poziomie serwera, opracowany przez cPanel, LLC, działający na serwerach internetowych opartych na Linux. Zapewnia dostęp na poziomie root i resellera do zarządzania wieloma kontami cPanel, konfigurowania ustawień całego serwera, kontrolowania polityk bezpieczeństwa oraz administrowania podstawowymi usługami, takimi jak Apache, MySQL i DNS — wszystko przez interfejs przeglądarkowy. WHM działa na porcie 2087 (HTTPS) i jest odpowiednikiem zaplecza dla cPanel, który służy jako interfejs użytkownika końcowego.

Jeśli prowadzisz zarządzane środowisko hostingowe, firmę zajmującą się hostingiem resellera lub samodzielnie administrowany Hosting VPS lub Serwer Dedykowany z zainstalowanym cPanel/WHM, zrozumienie architektury i metod dostępu WHM jest niezbędne do utrzymania czasu działania, bezpieczeństwa i efektywności operacyjnej.

WHM a cPanel: Zrozumienie relacji architektonicznej

Częstym źródłem nieporozumień jest traktowanie WHM i cPanel jako zamiennych. Nie są nimi. Zajmują odrębne warstwy tego samego stosu oprogramowania.

WHM to płaszczyzna administracyjna. cPanel to płaszczyzna danych dla poszczególnych kont. Każde konto cPanel jest tworzone, konfigurowane i zarządzane przez WHM. Jeśli WHM jest niedostępny, konta cPanel nadal obsługują ruch, ale żadne zmiany administracyjne nie mogą być wprowadzane na poziomie serwera.

Podstawowe możliwości techniczne WHM

Zarządzanie kontami i pakietami

WHM wykorzystuje koncepcję pakietów hostingowych (zwanych również planami lub listami funkcji) do definiowania przydziałów zasobów — limitów dyskowych, limitów przepustowości, limitów kont e-mail, limitów baz danych i subdomen — które są jednolicie stosowane do kont cPanel. Ta abstrakcja pozwala administratorom zarządzać setkami kont bez konfigurowania każdego z nich indywidualnie.

Kluczowe operacje obejmują:

• Tworzenie kont cPanel z predefiniowanymi pakietami lub niestandardowymi limitami zasobów
• Zawieszanie i odwieszanie kont bez utraty danych, co jest kluczowe dla egzekwowania rozliczeń
• Usuwanie kont z opcjonalnym zachowaniem danych
• Modyfikowanie limitów kont w locie bez konieczności ponownego tworzenia konta
• Przenoszenie kont między serwerami za pomocą wbudowanego narzędzia Transfer Tool WHM, które obsługuje DNS, pocztę e-mail, bazy danych i struktury plików w sposób atomowy

Często pomijana możliwość: Katalog szkieletowy WHM (`/root/cpanel3-skel/`) pozwala administratorom wstępnie wypełniać każde nowe konto cPanel domyślnymi plikami, strukturami katalogów lub szablonami konfiguracyjnymi — przydatne dla agencji wdrażających standaryzowane środowiska WordPress lub aplikacyjne na dużą skalę.

Architektura kont resellerskich

WHM obsługuje trójpoziomowy model uprawnień: administrator root, resellerzy i użytkownicy końcowi. Resellerzy otrzymują podzbiór możliwości WHM ograniczony do kont, które posiadają. Mogą tworzyć własne konta cPanel i nimi zarządzać, ustawiać limity zasobów w ramach własnego przydziału oraz personalizować interfejs cPanel — ale nie mogą uzyskiwać dostępu do kont innych resellerów ani ich modyfikować, ani też zmieniać konfiguracji na poziomie serwera.

Ta architektura stanowi podstawę modelu biznesowego hostingu resellerskiego i jest bezpośrednio istotna, jeśli prowadzisz VPS z cPanel w celu świadczenia usług hostingowych klientom.

Ważna kwestia: resellerzy nie otrzymują dostępu SSH na poziomie root. Ich dostęp do WHM jest ograniczony do uprawnień ACL (Lista kontroli dostępu) przyznanych przez administratora root. Błędna konfiguracja ACL jest częstym błędem bezpieczeństwa — przyznawanie resellerom większych uprawnień niż zamierzono, w szczególności możliwości globalnej modyfikacji DNS lub dostępu do konfiguracji serwera.

Administracja serwerem i zarządzanie usługami

WHM zapewnia bezpośrednią kontrolę nad podstawowymi usługami stanowiącymi fundament każdej hostowanej strony internetowej:

• Konfiguracja Apache/LiteSpeed — modyfikowanie globalnych dyrektyw, zarządzanie szablonami wirtualnych hostów, konfigurowanie obsługi PHP (suPHP, FastCGI, PHP-FPM) oraz przełączanie wersji PHP dla poszczególnych kont za pomocą MultiPHP Manager
• Administracja MySQL/MariaDB — zarządzanie globalnymi ustawieniami baz danych, przeprowadzanie aktualizacji MySQL i monitorowanie obciążenia zapytaniami
• Zarządzanie klastrem DNS — konfigurowanie WHM do uczestnictwa w klastrze DNS, synchronizując pliki stref na wielu serwerach nazw w celu zapewnienia redundancji
• Konfiguracja serwera pocztowego Exim — zarządzanie ustawieniami przekazywania SMTP, progami spamu, listami RBL i kolejkami dostarczania
• Monitorowanie usług — Menedżer usług WHM umożliwia włączanie, wyłączanie i monitorowanie demonów z automatycznymi zasadami ponownego uruchamiania

Szczegół, który zaskakuje wielu administratorów: EasyApache 4 (EA4) WHM to narzędzie do kompilowania i konfigurowania Apache i PHP. Przełączanie wersji PHP lub dodawanie rozszerzeń (takich jak `imagick`, `redis` lub `memcached`) odbywa się za pomocą profili EA4, a nie menedżera pakietów systemu operacyjnego. Próba instalacji rozszerzeń PHP przez `yum` lub `apt` bez uwzględnienia EA4 może uszkodzić konfigurację obsługi PHP w cPanel.

Centrum bezpieczeństwa

Centrum bezpieczeństwa WHM konsoliduje kilka kluczowych mechanizmów zabezpieczania:

• Ochrona przed atakami brute force cPHulk — ogranicza liczbę nieudanych prób logowania do WHM i cPanel, z konfigurowalnymi progami blokady i białą listą IP
• Integracja z CSF (ConfigServer Security & Firewall) — choć CSF jest wtyczką zewnętrzną, głęboko integruje się z interfejsem użytkownika WHM i jest de facto rozwiązaniem zapory sieciowej dla serwerów cPanel
• Uwierzytelnianie dwuskładnikowe (2FA) — WHM obsługuje 2FA oparte na TOTP zarówno dla logowań root, jak i resellerów, co należy traktować jako obowiązkowe, a nie opcjonalne
• Menedżer SSL/TLS — instalowanie, zarządzanie i automatyczne odnawianie certyfikatów SSL na poziomie całego serwera, w tym obsługa Let’s Encrypt przez AutoSSL
• Modyfikacja autoryzacji hasłem SSH — wyłączanie uwierzytelniania SSH opartego na haśle z poziomu WHM bez ręcznej edycji `sshd_config`
• Kontrola dostępu do kompilatora — ograniczanie dostępu do kompilatorów (gcc, cc) w celu zapobiegania eskalacji uprawnień poprzez lokalnie skompilowane exploity

Jeśli zarządzasz Certyfikatami SSL dla wielu domen, funkcja AutoSSL WHM może zautomatyzować wystawianie i odnawianie certyfikatów Let’s Encrypt dla każdego konta cPanel na serwerze, eliminując całkowicie ręczne zarządzanie certyfikatami.

Architektura kopii zapasowych i przywracania

System kopii zapasowych WHM działa na dwóch poziomach:

1. Konfiguracja kopii zapasowych WHM (poziom root) — definiuje globalne harmonogramy tworzenia kopii zapasowych, zasady przechowywania, ustawienia kompresji i zdalne miejsca docelowe transportu (FTP, SFTP, magazyn zgodny z S3, niestandardowe skrypty przez wtyczki transportu kopii zapasowych)
2. Przywracanie na poziomie konta — umożliwia przywracanie poszczególnych kont cPanel z pełnej kopii zapasowej serwera bez przywracania całego serwera, co jest kluczowe dla minimalizowania zasięgu szkód podczas zdarzeń utraty danych na poziomie konta

Częsty błąd architektoniczny: poleganie wyłącznie na wbudowanym systemie kopii zapasowych WHM bez weryfikacji, czy kopie zapasowe są transportowane poza serwer. Kopie zapasowe przechowywane na serwerze nie zapewniają żadnej ochrony przed awarią dysku, oprogramowaniem ransomware ani katastrofalną utratą serwera. Zawsze konfiguruj zdalne miejsce docelowe kopii zapasowych.

Zarządzanie DNS

WHM zarządza DNS na poziomie serwera, używając BIND (named) lub PowerDNS jako bazowego resolwera. Administratorzy mogą:

• Tworzyć, edytować i usuwać strefy DNS dla wszystkich domen na serwerze
• Konfigurować klastrowanie DNS w celu automatycznej replikacji stref do pomocniczych serwerów nazw
• Zarządzać rekordami SPF, DKIM i DMARC dla dostarczalności poczty e-mail we wszystkich hostowanych domenach
• Używać Edytora stref DNS do wprowadzania zbiorczych zmian bez dostępu SSH

W środowiskach hostingowych zarządzających wieloma domenami klientów, prawidłowa konfiguracja DNS w WHM — w szczególności konfiguracja DKIM i SPF — bezpośrednio wpływa na dostarczalność poczty e-mail dla wszystkich kont. Jest to szczególnie istotne przy łączeniu hostingu zarządzanego przez WHM z dedykowanym rozwiązaniem Hostingu poczty e-mail dla komunikacji krytycznej dla biznesu.

Jak uzyskać dostęp do WHM: instrukcja krok po kroku

Krok 1: Zgromadź wymagane dane uwierzytelniające

Przed próbą uzyskania dostępu upewnij się, że posiadasz:

• Adres IP serwera lub nazwę hosta — publiczny adres IPv4 (lub IPv6) serwera lub rozwiązywalną nazwę hosta wskazującą na niego
• Nazwę użytkownika — `root` dla głównego administratora; nazwę użytkownika resellera dla dostępu na poziomie resellera
• Hasło — hasło konta root lub resellera
• Token 2FA — jeśli uwierzytelnianie dwuskładnikowe jest włączone, przygotuj aplikację uwierzytelniającą

Jeśli zamówiłeś Serwer Dedykowany lub VPS z preinstalowanym cPanel/WHM, dane uwierzytelniające są zazwyczaj dostarczane e-mailem w momencie uruchomienia lub dostępne przez panel sterowania hostingu.

Krok 2: Wybierz właściwy adres URL dostępu

WHM jest dostępny pod następującymi formatami adresów URL:

Podstawowy dostęp HTTPS (zalecany):

“`

https://YOUR_SERVER_IP:2087/

https://your-domain.com:2087/

“`

Dostęp HTTP (alternatywny, niezalecany dla środowisk produkcyjnych):

“`

http://YOUR_SERVER_IP:2086/

http://your-domain.com:2086/

“`

Dostęp oparty na przekierowaniu (rozwiązuje do portu 2087):

“`

https://YOUR_SERVER_IP/whm

https://your-domain.com/whm

“`

Zastąp `YOUR_SERVER_IP` rzeczywistym adresem IP serwera (np. `https://198.51.100.42:2087/`). Adresy URL oparte na przekierowaniu są wygodne, ale zależą od prawidłowej obsługi przekierowania przez serwer internetowy — używaj adresów URL z jawnym portem podczas rozwiązywania problemów.

Krok 3: Obsługa ostrzeżeń o certyfikacie SSL

Na świeżo uruchomionym serwerze WHM używa samopodpisanego certyfikatu SSL wystawionego dla nazwy hosta serwera. Przeglądarki wyświetlą ostrzeżenie bezpieczeństwa, ponieważ ten certyfikat nie jest podpisany przez zaufany urząd certyfikacji (CA).

Jest to oczekiwane zachowanie podczas wstępnej konfiguracji. Aby kontynuować:

• Chrome/Edge: Kliknij „Zaawansowane”, a następnie „Przejdź do [nazwa hosta] (niebezpieczne)”
• Firefox: Kliknij „Zaawansowane”, a następnie „Zaakceptuj ryzyko i kontynuuj”

Aby trwale wyeliminować to ostrzeżenie, zainstaluj ważny certyfikat SSL dla nazwy hosta serwera w sekcji Zarządzaj certyfikatami SSL usług WHM lub skonfiguruj AutoSSL, aby wystawił certyfikat Let’s Encrypt dla nazwy hosta serwera. Jest to jednorazowe zadanie konfiguracyjne, które należy wykonać natychmiast po uruchomieniu serwera.

Krok 4: Uwierzytelnianie

Na stronie logowania WHM:

1. Wprowadź swoją nazwę użytkownika (`root` lub nazwę użytkownika resellera)
2. Wprowadź swoje hasło
3. Jeśli 2FA jest włączone, wprowadź kod TOTP z aplikacji uwierzytelniającej
4. Kliknij Zaloguj się

Pomyślne uwierzytelnienie przenosi do pulpitu nawigacyjnego WHM. Nieudane uwierzytelnienie po wielu próbach spowoduje blokadę cPHulk, jeśli jest włączona — a powinna być.

Krok 5: Nawigacja po pulpicie nawigacyjnym WHM

Pulpit nawigacyjny WHM jest zorganizowany w sekcje funkcjonalne dostępne przez panel nawigacyjny po lewej stronie i pasek wyszukiwania (który jest najszybszym sposobem dotarcia do dowolnego konkretnego narzędzia):

• Funkcje konta — tworzenie, wyświetlanie listy, modyfikowanie, zawieszanie i przenoszenie kont cPanel
• Pakiety — definiowanie i zarządzanie pakietami hostingowymi stosowanymi do kont
• Resellerzy — tworzenie kont resellerskich, ustawianie uprawnień ACL i monitorowanie wykorzystania zasobów przez resellerów
• Konfiguracja serwera — konfigurowanie ustawień całego serwera, w tym nazwy hosta, serwerów nazw i adresu e-mail kontaktowego
• Konfiguracja usług — zarządzanie konfiguracjami Exim, Apache, FTP i innych demonów
• Centrum bezpieczeństwa — dostęp do cPHulk, ustawień 2FA, zarządzania SSL i integracji zapory sieciowej
• MultiPHP Manager — ustawianie wersji PHP i konfiguracji PHP-FPM dla poszczególnych domen lub kont
• Konfiguracja kopii zapasowych — konfigurowanie harmonogramów kopii zapasowych, miejsc docelowych i przechowywania
• Wtyczki WHM — instalowanie i zarządzanie wtyczkami WHM innych firm (Softaculous, Imunify360, JetBackup itp.)

Rozwiązywanie problemów z dostępem do WHM

Port 2087 jest nieosiągalny

Jest to najczęstszy błąd dostępu. Przyczyny i rozwiązania:

• Zapora sieciowa blokuje port 2087 — sprawdź, czy zapora sieciowa serwera (iptables, firewalld lub CSF) ma otwarty port 2087. Uruchom `iptables -L -n | grep 2087` lub sprawdź `/etc/csf/csf.conf` CSF pod kątem reguł `TCP_IN`. Sprawdź również, czy zewnętrzna zapora sieciowa lub grupa zabezpieczeń dostawcy hostingu (jeśli dotyczy) zezwala na port 2087.
• Usługa cpsrvd nie działa — WHM jest obsługiwany przez demona `cpsrvd`. Jeśli jest zatrzymany, dostęp jest niemożliwy. Uruchom go ponownie przez SSH: `service cpsrvd restart` lub `/usr/local/cpanel/scripts/restartsrv_cpsrvd`
• Adres IP uległ zmianie — jeśli adres IP serwera zmienił się (np. po rekonfiguracji sieci), zaktualizuj odpowiednio adres URL dostępu

Błędy uwierzytelniania i blokady

• Blokada cPHulk — jeśli Twój adres IP został zablokowany przez cPHulk po nieudanych próbach logowania, dodaj swój adres IP do białej listy przez SSH: edytuj `/etc/cphulk/whitelist` lub użyj API WHM. Alternatywnie tymczasowo wyłącz cPHulk: `whmapi1 set_cphulk_config enabled=0`
• Logowanie root wyłączone — niektóre zabezpieczone konfiguracje wyłączają bezpośrednie logowanie root do WHM. W takim przypadku użyj użytkownika z uprawnieniami sudo lub ponownie włącz logowanie root przez SSH i konfigurację cPanel
• Zapomniane hasło root — zresetuj przez SSH używając `passwd root`, lub przez konsolę out-of-band dostawcy hostingu (IPMI/KVM), jeśli dostęp SSH jest również niedostępny

Problemy z SSL i przeglądarką

• Mieszana zawartość lub pętle przekierowań — występują podczas uzyskiwania dostępu do WHM przez odwrotny serwer proxy lub CDN. Dostęp do WHM powinien odbywać się bezpośrednio przez adres IP serwera lub nazwę hosta, która rozwiązuje się bezpośrednio do serwera, a nie przez Cloudflare lub podobne serwery proxy
• Niezgodność nazwy hosta certyfikatu — samopodpisany certyfikat jest wystawiany dla skonfigurowanej nazwy hosta serwera. Jeśli uzyskujesz dostęp do WHM przez adres IP, ostrzeżenie o niezgodności nazwy hosta jest nieuniknione do czasu zainstalowania właściwego certyfikatu
• Pamięć podręczna przeglądarki — przestarzałe ciasteczka sesji mogą powodować pętle przekierowań. Wyczyść dane witryny dla adresu URL WHM, lub użyj okna prywatnego/incognito

WHM ładuje się, ale brakuje funkcji

• Ograniczenia ACL resellera — jeśli jesteś zalogowany jako reseller i brakuje pewnych funkcji, administrator root ograniczył te funkcje przez ACL. Skontaktuj się z administratorem root w celu dostosowania uprawnień.
• Problemy z licencją — cPanel/WHM wymaga ważnej licencji powiązanej z adresem IP serwera. Wygasła lub nieprawidłowa licencja powoduje przejście WHM w tryb ograniczony. Sprawdź status licencji pod adresem `https://verify.cpanel.net/`

Lista kontrolna zabezpieczania WHM

Uruchamianie WHM na serwerze produkcyjnym bez zabezpieczenia stanowi poważne zagrożenie bezpieczeństwa. Zastosuj te środki natychmiast po uruchomieniu:

• Włącz 2FA dla root i wszystkich kont resellerskich — Centrum bezpieczeństwa WHM > Uwierzytelnianie dwuskładnikowe
• Włącz cPHulk z agresywnymi progami i dodaj swoje administracyjne adresy IP do białej listy
• Wyłącz logowanie SSH hasłem root — używaj wyłącznie uwierzytelniania kluczem SSH
• Zainstaluj CSF/LFD i skonfiguruj go do blokowania skanerów portów, prób brute-force i wychodzącego SMTP z procesów innych niż pocztowe
• Skonfiguruj AutoSSL do wystawiania ważnych certyfikatów Let’s Encrypt dla nazwy hosta serwera i wszystkich hostowanych domen
• Ogranicz dostęp do kompilatora — Centrum bezpieczeństwa WHM > Dostęp do kompilatora
• Włącz ModSecurity przez EasyApache 4 z renomowanym zestawem reguł (OWASP CRS lub Imunify360)
• Ustaw silną politykę haseł — Centrum bezpieczeństwa WHM > Konfiguracja siły hasła
• Regularnie audytuj ACL resellerów — usuwaj uprawnienia, które nie są wyraźnie wymagane
• Skonfiguruj zdalny transport kopii zapasowych — nigdy nie przechowuj jedynej kopii kopii zapasowych na tym samym serwerze

Macierz decyzyjna: kiedy używać WHM a alternatyw

Kluczowe wnioski techniczne

• WHM działa na porcie 2087 (HTTPS) i 2086 (HTTP); upewnij się, że te porty są otwarte zarówno w zaporze sieciowej na poziomie systemu operacyjnego, jak i w każdej nadrzędnej zaporze sieciowej
• Demon `cpsrvd` musi działać, aby WHM był dostępny; jest to pierwsza rzecz do sprawdzenia, gdy WHM jest nieosiągalny
• Nigdy nie uruchamiaj WHM bez 2FA na koncie root — port 2087 jest aktywnie skanowany przez zautomatyzowane boty
• AutoSSL eliminuje ręczne zarządzanie certyfikatami we wszystkich hostowanych domenach; skonfiguruj go natychmiast po uruchomieniu
• ACL resellerów to podstawowy mechanizm delegowania dostępu administracyjnego bez przyznawania uprawnień root — audytuj je regularnie
• EasyApache 4 to właściwe narzędzie do zarządzania wersjami PHP i rozszerzeniami; omijanie go za pomocą menedżerów pakietów systemu operacyjnego niszczy konfigurację obsługi cPanel
• Zdalny transport kopii zapasowych nie jest opcjonalny w środowisku produkcyjnym — kopie zapasowe na serwerze dają fałszywe poczucie bezpieczeństwa
• Możliwość klastrowania DNS w WHM jest niezbędna w każdym środowisku wieloserwerowym wymagającym redundancji serwerów nazw

Często zadawane pytania

Jaka jest różnica między WHM a cPanel?

WHM to interfejs administracyjny na poziomie serwera używany przez administratorów root i resellerów do tworzenia kont cPanel i zarządzania nimi, konfigurowania usług serwera i kontrolowania polityk bezpieczeństwa. cPanel to interfejs na poziomie konta używany przez indywidualnych właścicieli stron internetowych do zarządzania własnymi plikami, bazami danych, pocztą e-mail i domenami. WHM tworzy konta cPanel i nimi zarządza; cPanel nie może zarządzać innymi kontami ani ustawieniami całego serwera.

Jakiego portu używa WHM i czy można go zmienić?

WHM domyślnie używa portu 2087 dla HTTPS i portu 2086 dla HTTP. Port jest określany przez demona `cpsrvd` i nie można go skonfigurować na dowolny port przez standardowy interfejs WHM. Jeśli port 2087 jest zablokowany przez zaporę sieciową, adresy URL przekierowania (`/whm`) również nie będą działać, ponieważ rozwiązują się do tego samego portu.

Czy można uzyskać dostęp do WHM bez danych uwierzytelniających root?

Tak. Konta resellerskie mają dostęp do WHM ograniczony do uprawnień przyznanych przez administratora root za pomocą list kontroli dostępu (ACL). Resellerzy mogą logować się do WHM używając własnej nazwy użytkownika i hasła oraz zarządzać tylko kontami cPanel będącymi w ich posiadaniu.

Dlaczego WHM wyświetla ostrzeżenie o certyfikacie SSL przy pierwszym dostępie?

Domyślnie WHM używa samopodpisanego certyfikatu SSL wystawionego dla nazwy hosta serwera. Ponieważ ten certyfikat nie jest podpisany przez zaufany urząd certyfikacji, przeglądarki wyświetlają ostrzeżenie bezpieczeństwa. Jest to oczekiwane i bezpieczne do pominięcia podczas wstępnej konfiguracji. Trwałym rozwiązaniem jest zainstalowanie ważnego certyfikatu SSL dla nazwy hosta serwera przy użyciu AutoSSL WHM lub ręczne zainstalowanie certyfikatu przez Zarządzaj certyfikatami SSL usług.

Co powinienem zrobić, jeśli WHM jest niedostępny po ponownym uruchomieniu serwera?

Najpierw sprawdź, czy usługa `cpsrvd` uruchomiła się poprawnie, łącząc się przez SSH i uruchamiając `service cpsrvd status`. Jeśli nie uruchomiła się, sprawdź `/usr/local/cpanel/logs/error_log` w celu uzyskania danych diagnostycznych. Sprawdź również, czy reguły zapory sieciowej dla portu 2087 zostały przywrócone po ponownym uruchomieniu — niektóre konfiguracje zapory sieciowej nie są zachowywane po ponownym uruchomieniu bez jawnych poleceń zapisu (`service iptables save` lub `csf -r`).