Что такое WHM (Web Host Manager) и как получить к нему доступ

WHM (Web Host Manager) — это административная панель управления на уровне сервера, разработанная компанией cPanel, LLC, работающая на веб-серверах на базе Linux. Она предоставляет доступ на уровне root и реселлера для управления несколькими учётными записями cPanel, настройки общесерверных параметров, управления политиками безопасности и администрирования основных служб, таких как Apache, MySQL и DNS — всё через браузерный интерфейс. WHM работает на порту 2087 (HTTPS) и является серверным аналогом cPanel, которая служит интерфейсом для конечного пользователя.

Если вы управляете средой управляемого хостинга, реселлерским хостинговым бизнесом или самостоятельно администрируемым VPS Хостингом или Выделенным Сервером с установленным cPanel/WHM, понимание архитектуры и методов доступа WHM является обязательным условием для обеспечения бесперебойной работы, безопасности и операционной эффективности.

WHM и cPanel: понимание архитектурных взаимосвязей

Распространённой ошибкой является отождествление WHM и cPanel. Это не одно и то же. Они занимают разные уровни одного программного стека.

WHM — это административный уровень. cPanel — это уровень данных для отдельных учётных записей. Каждая учётная запись cPanel создаётся, настраивается и управляется через WHM. Если WHM недоступен, учётные записи cPanel продолжают обслуживать трафик, однако никакие административные изменения на уровне сервера внести невозможно.

Основные технические возможности WHM

Управление учётными записями и пакетами

WHM использует концепцию хостинговых пакетов (также называемых планами или списками функций) для определения распределения ресурсов — дисковых квот, ограничений пропускной способности, лимитов на количество почтовых ящиков, баз данных и поддоменов — которые единообразно применяются к учётным записям cPanel. Такая абстракция позволяет администраторам управлять сотнями учётных записей без индивидуальной настройки каждой из них.

Ключевые операции включают:

• Создание учётных записей cPanel с предопределёнными пакетами или пользовательскими ограничениями ресурсов
• Приостановка и восстановление учётных записей без потери данных, что критически важно для обеспечения соблюдения условий оплаты
• Удаление учётных записей с возможностью сохранения данных
• Изменение лимитов учётных записей на лету без их пересоздания
• Перенос учётных записей между серверами с помощью встроенного инструмента Transfer Tool в WHM, который атомарно обрабатывает DNS, электронную почту, базы данных и файловые структуры

Часто упускаемая из виду возможность: Skeleton Directory в WHM (`/root/cpanel3-skel/`) позволяет администраторам заранее заполнять каждую новую учётную запись cPanel файлами по умолчанию, структурами каталогов или шаблонами конфигурации — это удобно для агентств, развёртывающих стандартизированные среды WordPress или приложений в масштабе.

Архитектура реселлерских учётных записей

WHM поддерживает трёхуровневую модель привилегий: root-администратор, реселлеры и конечные пользователи. Реселлеры получают подмножество возможностей WHM, ограниченное учётными записями, которыми они владеют. Они могут создавать собственные учётные записи cPanel и управлять ими, устанавливать ограничения ресурсов в рамках собственного выделенного объёма и настраивать брендинг интерфейса cPanel — однако они не могут получать доступ к учётным записям других реселлеров или влиять на них, а также изменять конфигурации на уровне сервера.

Эта архитектура является основой бизнес-модели реселлерского хостинга и непосредственно актуальна, если вы используете VPS с cPanel для предоставления хостинговых услуг клиентам.

Важный нюанс: реселлеры не получают root-доступ по SSH. Их доступ к WHM ограничен разрешениями ACL (Access Control List), предоставленными root-администратором. Неправильная настройка ACL является распространённой ошибкой безопасности — когда реселлерам предоставляется больше привилегий, чем предполагалось, в частности возможность глобального изменения DNS или доступа к конфигурации сервера.

Администрирование сервера и управление службами

WHM обеспечивает прямое управление основными службами, на которых работает каждый размещённый сайт:

• Настройка Apache/LiteSpeed — изменение глобальных директив, управление шаблонами виртуальных хостов, настройка обработчиков PHP (suPHP, FastCGI, PHP-FPM) и переключение версий PHP для каждой учётной записи с помощью MultiPHP Manager
• Администрирование MySQL/MariaDB — управление глобальными настройками базы данных, выполнение обновлений MySQL и мониторинг нагрузки запросов
• Управление DNS-кластером — настройка участия WHM в DNS-кластере с синхронизацией файлов зон между несколькими серверами имён для обеспечения избыточности
• Настройка почтового сервера Exim — управление настройками SMTP-ретрансляции, порогами спама, списками RBL и очередями доставки
• Мониторинг служб — Service Manager в WHM позволяет включать, отключать и отслеживать демоны с настройкой политик автоматического перезапуска

Деталь, которая застаёт многих администраторов врасплох: EasyApache 4 (EA4) в WHM — это инструмент для компиляции и настройки Apache и PHP. Переключение версий PHP или добавление расширений (таких как `imagick`, `redis` или `memcached`) выполняется через профили EA4, а не через менеджер пакетов ОС. Попытка установить расширения PHP через `yum` или `apt` без учёта EA4 может нарушить конфигурацию обработчика PHP в cPanel.

Центр безопасности

Центр безопасности WHM объединяет несколько важных элементов управления защитой:

• Защита от брутфорса cPHulk — ограничивает частоту неудачных попыток входа в WHM и cPanel с настраиваемыми порогами блокировки и белым списком IP-адресов
• Интеграция с CSF (ConfigServer Security & Firewall) — хотя CSF является сторонним плагином, он глубоко интегрирован в интерфейс WHM и является де-факто стандартным решением брандмауэра для серверов cPanel
• Двухфакторная аутентификация (2FA) — WHM поддерживает 2FA на основе TOTP как для root, так и для входа реселлеров, что следует считать обязательным, а не опциональным требованием
• Менеджер SSL/TLS — установка, управление и автоматическое обновление SSL-сертификатов на уровне всего сервера, включая поддержку Let’s Encrypt через AutoSSL
• Настройка авторизации SSH по паролю — отключение аутентификации SSH по паролю из интерфейса WHM без ручного редактирования `sshd_config`
• Управление доступом к компилятору — ограничение доступа к компиляторам (gcc, cc) для предотвращения повышения привилегий через локально скомпилированные эксплойты

Если вы управляете SSL-сертификатами для нескольких доменов, функция AutoSSL в WHM может автоматизировать выпуск и обновление сертификатов Let’s Encrypt для каждой учётной записи cPanel на сервере, полностью исключив необходимость ручного управления сертификатами.

Архитектура резервного копирования и восстановления

Система резервного копирования WHM работает на двух уровнях:

1. Настройка резервного копирования WHM (на уровне root) — определяет глобальные расписания резервного копирования, политики хранения, параметры сжатия и удалённые места назначения для транспортировки (FTP, SFTP, S3-совместимое хранилище, пользовательские скрипты через плагины транспортировки резервных копий)
2. Восстановление отдельных учётных записей — позволяет восстанавливать отдельные учётные записи cPanel из полной резервной копии сервера без восстановления всего сервера, что критически важно для минимизации последствий при потере данных на уровне учётной записи

Распространённая архитектурная ошибка: полагаться исключительно на встроенную систему резервного копирования WHM, не проверяя, что резервные копии транспортируются за пределы сервера. Резервные копии на том же сервере не обеспечивают никакой защиты от отказа диска, программ-вымогателей или катастрофической потери сервера. Всегда настраивайте удалённое место назначения для резервных копий.

Управление DNS

WHM управляет DNS на уровне сервера, используя BIND (named) или PowerDNS в качестве базового резолвера. Администраторы могут:

• Создавать, редактировать и удалять DNS-зоны для всех доменов на сервере
• Настраивать DNS-кластеризацию для автоматической репликации зон на вторичные серверы имён
• Управлять записями SPF, DKIM и DMARC для обеспечения доставляемости электронной почты для всех размещённых доменов
• Использовать DNS Zone Editor для внесения массовых изменений без доступа по SSH

Для хостинговых сред, управляющих несколькими клиентскими доменами, правильная настройка DNS в WHM — в частности, настройка DKIM и SPF — напрямую влияет на доставляемость электронной почты для всех учётных записей. Это особенно актуально при совместном использовании хостинга под управлением WHM и выделенного решения Email Хостинга для критически важных деловых коммуникаций.

Как получить доступ к WHM: пошаговое руководство

Шаг 1: Подготовьте необходимые учётные данные

Перед попыткой доступа убедитесь, что у вас есть:

• IP-адрес или имя хоста сервера — публичный IPv4 (или IPv6) адрес сервера или разрешаемое имя хоста, указывающее на него
• Имя пользователя — `root` для основного администратора; имя пользователя реселлера для доступа на уровне реселлера
• Пароль — пароль учётной записи root или реселлера
• Токен 2FA — если включена двухфакторная аутентификация, подготовьте приложение-аутентификатор

Если вы заказали Выделенный Сервер или VPS с предустановленным cPanel/WHM, эти учётные данные, как правило, доставляются по электронной почте в момент подготовки сервера или доступны через панель управления хостингом.

Шаг 2: Выберите правильный URL для доступа

WHM доступен по следующим форматам URL:

Основной доступ по HTTPS (рекомендуется):

“`

https://YOUR_SERVER_IP:2087/

https://your-domain.com:2087/

“`

Доступ по HTTP (резервный вариант, не рекомендуется для производственной среды):

“`

http://YOUR_SERVER_IP:2086/

http://your-domain.com:2086/

“`

Доступ через перенаправление (перенаправляет на порт 2087):

“`

https://YOUR_SERVER_IP/whm

https://your-domain.com/whm

“`

Замените `YOUR_SERVER_IP` на фактический IP-адрес вашего сервера (например, `https://198.51.100.42:2087/`). URL с перенаправлением удобны, но зависят от корректной обработки перенаправления веб-сервером — при устранении неполадок используйте URL с явным указанием порта.

Шаг 3: Обработка предупреждений SSL-сертификата

На только что подготовленном сервере WHM использует самоподписанный SSL-сертификат, выданный на имя хоста сервера. Браузеры отображают предупреждение безопасности, поскольку этот сертификат не подписан доверенным центром сертификации (CA).

Это ожидаемое поведение при начальной настройке. Чтобы продолжить:

• Chrome/Edge: Нажмите «Дополнительно», затем «Перейти на сайт [имя хоста] (небезопасно)»
• Firefox: Нажмите «Дополнительно», затем «Принять риск и продолжить»

Чтобы навсегда устранить это предупреждение, установите действительный SSL-сертификат для имени хоста сервера в разделе Manage Service SSL Certificates в WHM или настройте AutoSSL для выпуска сертификата Let’s Encrypt для имени хоста сервера. Это разовая задача настройки, которую следует выполнить сразу после подготовки сервера.

Шаг 4: Аутентификация

На странице входа в WHM:

1. Введите своё имя пользователя (`root` или имя пользователя реселлера)
2. Введите свой пароль
3. Если включена 2FA, введите код TOTP из приложения-аутентификатора
4. Нажмите Log In

После успешной аутентификации вы попадёте на панель управления WHM. Неудачная аутентификация после нескольких попыток вызовет блокировку cPHulk, если она включена — а она должна быть включена.

Шаг 5: Навигация по панели управления WHM

Панель управления WHM организована по функциональным разделам, доступным через навигационную панель слева и строку поиска (которая является самым быстрым способом перейти к любому конкретному инструменту):

• Account Functions — создание, просмотр, изменение, приостановка и перенос учётных записей cPanel
• Packages — определение хостинговых пакетов, применяемых к учётным записям, и управление ими
• Resellers — создание реселлерских учётных записей, настройка разрешений ACL и мониторинг использования ресурсов реселлерами
• Server Configuration — настройка общесерверных параметров, включая имя хоста, серверы имён и контактный адрес электронной почты
• Service Configuration — управление конфигурациями Exim, Apache, FTP и других демонов
• Security Center — доступ к cPHulk, настройкам 2FA, управлению SSL и интеграции с брандмауэром
• MultiPHP Manager — установка версий PHP и конфигураций PHP-FPM для каждого домена или учётной записи
• Backup Configuration — настройка расписаний резервного копирования, мест назначения и политик хранения
• WHM Plugins — установка сторонних плагинов WHM и управление ими (Softaculous, Imunify360, JetBackup и др.)

Устранение проблем с доступом к WHM

Порт 2087 недоступен

Это наиболее распространённая причина сбоя доступа. Причины и способы устранения:

• Брандмауэр блокирует порт 2087 — убедитесь, что брандмауэр сервера (iptables, firewalld или CSF) открыл порт 2087. Выполните `iptables -L -n | grep 2087` или проверьте `/etc/csf/csf.conf` в CSF на наличие правил `TCP_IN`. Также убедитесь, что внешний брандмауэр или группа безопасности вашего хостинг-провайдера (если применимо) разрешают порт 2087.
• Служба cpsrvd не запущена — WHM обслуживается демоном `cpsrvd`. Если он остановлен, доступ невозможен. Перезапустите его через SSH: `service cpsrvd restart` или `/usr/local/cpanel/scripts/restartsrv_cpsrvd`
• IP-адрес изменился — если IP-адрес сервера изменился (например, после перенастройки сети), обновите URL для доступа соответствующим образом

Сбои аутентификации и блокировки

• Блокировка cPHulk — если ваш IP заблокирован cPHulk после неудачных попыток входа, добавьте свой IP в белый список через SSH: отредактируйте `/etc/cphulk/whitelist` или используйте API WHM. Либо временно отключите cPHulk: `whmapi1 set_cphulk_config enabled=0`
• Вход root отключён — некоторые защищённые конфигурации отключают прямой вход root в WHM. В этом случае используйте пользователя с правами sudo или повторно включите вход root через SSH и конфигурацию cPanel
• Забытый пароль root — сбросьте через SSH с помощью `passwd root` или через внеполосную консоль вашего хостинг-провайдера (IPMI/KVM), если доступ по SSH также недоступен

Проблемы с SSL и браузером

• Смешанный контент или циклы перенаправления — возникают при доступе к WHM через обратный прокси или CDN. К WHM следует обращаться напрямую через IP-адрес сервера или имя хоста, которое разрешается непосредственно на сервер, а не через Cloudflare или аналогичные прокси
• Несоответствие имени хоста в сертификате — самоподписанный сертификат выдаётся на настроенное имя хоста сервера. При доступе к WHM по IP-адресу предупреждение о несоответствии имени хоста неизбежно до установки надлежащего сертификата
• Кэш браузера — устаревшие файлы cookie сессии могут вызывать циклы перенаправления. Очистите данные сайта конкретно для URL WHM или используйте приватное/инкогнито окно

WHM загружается, но некоторые функции отсутствуют

• Ограничения ACL реселлера — если вы вошли как реселлер и некоторые функции отсутствуют, root-администратор ограничил эти функции через ACL. Обратитесь к root-администратору для изменения разрешений.
• Проблемы с лицензией — cPanel/WHM требует действительной лицензии, привязанной к IP-адресу сервера. Истёкшая или недействительная лицензия переводит WHM в ограниченный режим. Проверьте статус лицензии по адресу `https://verify.cpanel.net/`

Контрольный список по усилению безопасности WHM

Запуск WHM на производственном сервере без усиления защиты представляет значительную угрозу безопасности. Примените следующие меры сразу после подготовки сервера:

• Включите 2FA для root и всех реселлерских учётных записей — WHM Security Center > Two-Factor Authentication
• Включите cPHulk с жёсткими порогами и добавьте ваши административные IP-адреса в белый список
• Отключите вход по паролю SSH для root — используйте исключительно аутентификацию по SSH-ключу
• Установите CSF/LFD и настройте его для блокировки сканеров портов, попыток брутфорса и исходящего SMTP от процессов, не являющихся почтовыми
• Настройте AutoSSL для выпуска действительных сертификатов Let’s Encrypt для имени хоста сервера и всех размещённых доменов
• Ограничьте доступ к компилятору — WHM Security Center > Compiler Access
• Включите ModSecurity через EasyApache 4 с надёжным набором правил (OWASP CRS или Imunify360)
• Установите строгую политику паролей — WHM Security Center > Password Strength Configuration
• Регулярно проверяйте ACL реселлеров — удаляйте разрешения, которые явно не требуются
• Настройте удалённый транспорт резервных копий — никогда не храните единственную копию резервных копий на том же сервере

Матрица решений: когда использовать WHM, а когда — альтернативы

Ключевые технические выводы

• WHM работает на порту 2087 (HTTPS) и 2086 (HTTP); убедитесь, что эти порты открыты как в брандмауэре на уровне ОС, так и в любом вышестоящем сетевом брандмауэре
• Для доступа к WHM должен быть запущен демон `cpsrvd`; это первое, что следует проверить, когда WHM недоступен
• Никогда не запускайте WHM без 2FA на учётной записи root — порт 2087 активно сканируется автоматизированными ботами
• AutoSSL исключает необходимость ручного управления сертификатами для всех размещённых доменов; настройте его сразу после подготовки сервера
• ACL реселлеров — основной механизм делегирования административного доступа без предоставления прав root; регулярно проверяйте их
• EasyApache 4 — правильный инструмент для управления версиями PHP и расширениями; обход его с помощью менеджеров пакетов ОС нарушает конфигурацию обработчика cPanel
• Удалённый транспорт резервных копий в производственной среде не является опциональным — резервные копии на том же сервере создают ложное ощущение защищённости
• Возможность DNS-кластеризации WHM необходима для любой многосерверной среды, требующей избыточности серверов имён

Часто задаваемые вопросы

В чём разница между WHM и cPanel?

WHM — это административный интерфейс на уровне сервера, используемый root-администраторами и реселлерами для создания учётных записей cPanel и управления ими, настройки серверных служб и управления политиками безопасности. cPanel — это интерфейс на уровне учётной записи, используемый отдельными владельцами сайтов для управления своими файлами, базами данных, электронной почтой и доменами. WHM создаёт учётные записи cPanel и управляет ими; cPanel не может управлять другими учётными записями или общесерверными настройками.

Какой порт использует WHM и можно ли его изменить?

По умолчанию WHM использует порт 2087 для HTTPS и порт 2086 для HTTP. Порт определяется демоном `cpsrvd` и не может быть изменён на произвольный через стандартный интерфейс WHM. Если порт 2087 заблокирован брандмауэром, URL с перенаправлением (`/whm`) также не будут работать, поскольку они разрешаются на тот же порт.

Можно ли получить доступ к WHM без учётных данных root?

Да. Реселлерские учётные записи имеют доступ к WHM, ограниченный разрешениями, предоставленными root-администратором через списки управления доступом (ACL). Реселлеры могут входить в WHM, используя собственное имя пользователя и пароль, и управлять только учётными записями cPanel, находящимися в их владении.

Почему WHM показывает предупреждение о SSL-сертификате при первом доступе?

По умолчанию WHM использует самоподписанный SSL-сертификат, выданный на имя хоста сервера. Поскольку этот сертификат не подписан доверенным центром сертификации, браузеры отображают предупреждение безопасности. Это ожидаемое поведение, которое безопасно игнорировать при начальной настройке. Постоянное решение — установить действительный SSL-сертификат для имени хоста сервера с помощью AutoSSL в WHM или вручную установить сертификат через Manage Service SSL Certificates.

Что делать, если WHM недоступен после перезагрузки сервера?

Сначала убедитесь, что служба `cpsrvd` запустилась корректно, подключившись по SSH и выполнив `service cpsrvd status`. Если запуск завершился ошибкой, проверьте `/usr/local/cpanel/logs/error_log` для получения диагностической информации. Также убедитесь, что правила брандмауэра для порта 2087 были восстановлены после перезагрузки — некоторые конфигурации брандмауэра не сохраняются между перезагрузками без явных команд сохранения (`service iptables save` или `csf -r`).