Що таке WHM (Web Host Manager) і як отримати до нього доступ

WHM (Web Host Manager) — це адміністративна панель управління на рівні сервера, розроблена компанією cPanel, LLC, яка працює на веб-серверах на базі Linux. Вона надає доступ на рівні root та реселера для управління кількома обліковими записами cPanel, налаштування загальносерверних параметрів, контролю політик безпеки та адміністрування основних служб, таких як Apache, MySQL та DNS — все через браузерний інтерфейс. WHM працює на порту 2087 (HTTPS) і є серверним аналогом cPanel, яка слугує інтерфейсом для кінцевого користувача.

Якщо ви керуєте середовищем керованого хостингу, бізнесом реселерського хостингу або самостійно адмініструєте VPS Хостинг або Виділений Сервер з встановленим cPanel/WHM, розуміння архітектури та методів доступу WHM є обов’язковим для підтримки безперебійної роботи, безпеки та операційної ефективності.

WHM проти cPanel: розуміння архітектурних відносин

Поширеною помилкою є ототожнення WHM і cPanel. Вони не є взаємозамінними. Вони займають різні рівні одного програмного стеку.

WHM — це адміністративний рівень. cPanel — це рівень даних для окремих облікових записів. Кожен обліковий запис cPanel створюється, налаштовується та управляється через WHM. Якщо WHM недоступний, облікові записи cPanel продовжують обслуговувати трафік, але жодних адміністративних змін на рівні сервера внести неможливо.

Основні технічні можливості WHM

Управління обліковими записами та пакетами

WHM використовує концепцію хостингових пакетів (також відомих як плани або списки функцій) для визначення розподілу ресурсів — дискових квот, обмежень пропускної здатності, ліміту поштових облікових записів, обмежень баз даних та субдоменів — які рівномірно застосовуються до облікових записів cPanel. Ця абстракція дозволяє адміністраторам керувати сотнями облікових записів без індивідуального налаштування кожного з них.

Ключові операції включають:

• Створення облікових записів cPanel з попередньо визначеними пакетами або індивідуальними лімітами ресурсів
• Призупинення та відновлення облікових записів без втрати даних, що є критично важливим для виконання платіжних зобов’язань
• Видалення облікових записів з можливістю збереження даних
• Зміна лімітів облікових записів в режимі реального часу без їх повторного створення
• Перенесення облікових записів між серверами за допомогою вбудованого інструменту Transfer Tool у WHM, який атомарно обробляє DNS, електронну пошту, бази даних та файлові структури

Часто недооцінювана можливість: Skeleton Directory у WHM (`/root/cpanel3-skel/`) дозволяє адміністраторам попередньо заповнювати кожен новий обліковий запис cPanel стандартними файлами, структурами каталогів або шаблонами конфігурації — корисно для агентств, що розгортають стандартизовані середовища WordPress або додатків у великих масштабах.

Архітектура облікових записів реселерів

WHM підтримує трирівневу модель привілеїв: root-адміністратор, реселери та кінцеві користувачі. Реселери отримують підмножину можливостей WHM, обмежену обліковими записами, якими вони володіють. Вони можуть створювати власні облікові записи cPanel та керувати ними, встановлювати ліміти ресурсів у межах власного розподілу та брендувати інтерфейс cPanel — але не можуть отримувати доступ до облікових записів інших реселерів або впливати на них, а також змінювати конфігурації на рівні сервера.

Ця архітектура є основою бізнес-моделі реселерського хостингу і безпосередньо актуальна, якщо ви керуєте VPS з cPanel для надання хостингових послуг клієнтам.

Важливий нюанс: реселери не отримують root-доступ по SSH. Їхній доступ до WHM обмежений дозволами ACL (Access Control List), наданими root-адміністратором. Неправильне налаштування ACL є поширеною помилкою безпеки — надання реселерам більших привілеїв, ніж передбачалося, зокрема можливості глобального змінення DNS або доступу до конфігурації сервера.

Адміністрування сервера та управління службами

WHM надає прямий контроль над основними службами, що забезпечують роботу кожного розміщеного сайту:

• Налаштування Apache/LiteSpeed — зміна глобальних директив, управління шаблонами віртуальних хостів, налаштування обробників PHP (suPHP, FastCGI, PHP-FPM) та перемикання версій PHP для кожного облікового запису за допомогою MultiPHP Manager
• Адміністрування MySQL/MariaDB — управління глобальними налаштуваннями бази даних, виконання оновлень MySQL та моніторинг навантаження запитів
• Управління DNS-кластером — налаштування WHM для участі в DNS-кластері з синхронізацією файлів зон між кількома серверами імен для забезпечення надмірності
• Налаштування поштового сервера Exim — управління налаштуваннями SMTP-ретрансляції, порогами спаму, списками RBL та чергами доставки
• Моніторинг служб — Service Manager у WHM дозволяє вмикати, вимикати та відстежувати демони з політиками автоматичного перезапуску

Деталь, яка часто застає адміністраторів зненацька: EasyApache 4 (EA4) у WHM — це інструмент для компіляції та налаштування Apache і PHP. Перемикання версій PHP або додавання розширень (таких як `imagick`, `redis` або `memcached`) виконується через профілі EA4, а не через менеджер пакетів ОС. Спроба встановити розширення PHP через `yum` або `apt` без урахування EA4 може порушити конфігурацію обробника PHP у cPanel.

Центр безпеки

Центр безпеки WHM об’єднує кілька критично важливих засобів захисту:

• cPHulk Brute Force Protection — обмежує кількість невдалих спроб входу до WHM та cPanel з налаштовуваними порогами блокування та білим списком IP
• Інтеграція з CSF (ConfigServer Security & Firewall) — хоча CSF є стороннім плагіном, він глибоко інтегрується в інтерфейс WHM і є фактичним рішенням брандмауера для серверів cPanel
• Двофакторна автентифікація (2FA) — WHM підтримує TOTP-based 2FA як для root, так і для входу реселерів, що слід вважати обов’язковим, а не необов’язковим
• SSL/TLS Manager — встановлення, управління та автоматичне оновлення SSL-сертифікатів на рівні всього сервера, включаючи підтримку Let’s Encrypt через AutoSSL
• SSH Password Authorization Tweak — вимкнення автентифікації SSH за паролем з інтерфейсу WHM без ручного редагування `sshd_config`
• Compiler Access Control — обмеження доступу до компіляторів (gcc, cc) для запобігання підвищенню привілеїв через локально скомпільовані експлойти

Якщо ви керуєте SSL-сертифікатами для кількох доменів, функція AutoSSL у WHM може автоматизувати видачу та оновлення сертифікатів Let’s Encrypt для кожного облікового запису cPanel на сервері, повністю усуваючи необхідність ручного управління сертифікатами.

Архітектура резервного копіювання та відновлення

Система резервного копіювання WHM працює на двох рівнях:

1. Конфігурація резервного копіювання WHM (рівень root) — визначає глобальні розклади резервного копіювання, політики зберігання, налаштування стиснення та віддалені місця призначення для транспортування (FTP, SFTP, S3-сумісне сховище, власні скрипти через плагіни транспортування резервних копій)
2. Відновлення окремих облікових записів — дозволяє відновлювати окремі облікові записи cPanel з повної резервної копії сервера без відновлення всього сервера, що є критично важливим для мінімізації наслідків при втраті даних на рівні облікового запису

Поширена архітектурна помилка: покладатися виключно на вбудовану систему резервного копіювання WHM без перевірки того, що резервні копії транспортуються за межі сервера. Резервні копії на сервері не забезпечують жодного захисту від відмови диска, програм-вимагачів або катастрофічної втрати сервера. Завжди налаштовуйте віддалене місце призначення для резервних копій.

Управління DNS

WHM управляє DNS на рівні сервера, використовуючи BIND (named) або PowerDNS як базовий резолвер. Адміністратори можуть:

• Створювати, редагувати та видаляти DNS-зони для всіх доменів на сервері
• Налаштовувати DNS-кластеризацію для автоматичної реплікації зон на вторинні сервери імен
• Управляти записами SPF, DKIM та DMARC для доставки електронної пошти для всіх розміщених доменів
• Використовувати DNS Zone Editor для масових змін без SSH-доступу

Для хостингових середовищ, що управляють кількома клієнтськими доменами, правильне налаштування DNS у WHM — зокрема налаштування DKIM та SPF — безпосередньо впливає на доставку електронної пошти для всіх облікових записів. Це особливо актуально при поєднанні хостингу під управлінням WHM з виділеним рішенням Email Хостингу для бізнес-критичних комунікацій.

Як отримати доступ до WHM: покрокова інструкція

Крок 1: Зберіть необхідні облікові дані

Перед спробою доступу переконайтеся, що у вас є:

• IP-адреса або ім’я хоста сервера — публічна IPv4 (або IPv6) адреса сервера або ім’я хоста, що розпізнається та вказує на нього
• Ім’я користувача — `root` для основного адміністратора; ім’я користувача реселера для доступу на рівні реселера
• Пароль — пароль облікового запису root або реселера
• Токен 2FA — якщо увімкнено двофакторну автентифікацію, підготуйте додаток-автентифікатор

Якщо ви замовили Виділений Сервер або VPS з попередньо встановленим cPanel/WHM, ці облікові дані зазвичай надсилаються електронною поштою під час підготовки або доступні через панель управління хостингом.

Крок 2: Виберіть правильну URL-адресу для доступу

WHM доступний за такими форматами URL:

Основний доступ через HTTPS (рекомендовано):

“`

https://YOUR_SERVER_IP:2087/

https://your-domain.com:2087/

“`

Доступ через HTTP (резервний варіант, не рекомендується для виробничого середовища):

“`

http://YOUR_SERVER_IP:2086/

http://your-domain.com:2086/

“`

Доступ через перенаправлення (переходить на порт 2087):

“`

https://YOUR_SERVER_IP/whm

https://your-domain.com/whm

“`

Замініть `YOUR_SERVER_IP` на фактичну IP-адресу вашого сервера (наприклад, `https://198.51.100.42:2087/`). URL-адреси з перенаправленням зручні, але залежать від правильної обробки перенаправлення веб-сервером — використовуйте URL-адреси з явним зазначенням порту при усуненні несправностей.

Крок 3: Обробка попереджень SSL-сертифіката

На щойно підготовленому сервері WHM використовує самопідписаний SSL-сертифікат, виданий для імені хоста сервера. Браузери відображатимуть попередження безпеки, оскільки цей сертифікат не підписаний довіреним центром сертифікації (CA).

Це очікувана поведінка при початковому налаштуванні. Щоб продовжити:

• Chrome/Edge: Натисніть «Додатково», потім «Перейти на [ім’я хоста] (небезпечно)»
• Firefox: Натисніть «Додатково», потім «Прийняти ризик і продовжити»

Щоб назавжди усунути це попередження, встановіть дійсний SSL-сертифікат для імені хоста сервера через розділ Manage Service SSL Certificates у WHM або налаштуйте AutoSSL для видачі сертифіката Let’s Encrypt для імені хоста сервера. Це одноразове завдання налаштування, яке слід виконати відразу після підготовки сервера.

Крок 4: Автентифікація

На сторінці входу WHM:

1. Введіть своє ім’я користувача (`root` або ім’я користувача реселера)
2. Введіть свій пароль
3. Якщо увімкнено 2FA, введіть код TOTP з вашого додатку-автентифікатора
4. Натисніть Log In

Після успішної автентифікації ви потрапите на панель управління WHM. Невдала автентифікація після кількох спроб призведе до блокування cPHulk, якщо воно увімкнено — а воно має бути увімкнено.

Крок 5: Навігація панеллю управління WHM

Панель управління WHM організована у функціональні розділи, доступні через ліву навігаційну панель та рядок пошуку (який є найшвидшим способом знайти будь-який конкретний інструмент):

• Account Functions — створення, перегляд, зміна, призупинення та перенесення облікових записів cPanel
• Packages — визначення та управління хостинговими пакетами, що застосовуються до облікових записів
• Resellers — створення облікових записів реселерів, встановлення дозволів ACL та моніторинг використання ресурсів реселерами
• Server Configuration — налаштування загальносерверних параметрів, включаючи ім’я хоста, сервери імен та контактну електронну пошту
• Service Configuration — управління конфігураціями Exim, Apache, FTP та інших демонів
• Security Center — доступ до cPHulk, налаштувань 2FA, управління SSL та інтеграції брандмауера
• MultiPHP Manager — встановлення версій PHP та конфігурацій PHP-FPM для кожного домену або облікового запису
• Backup Configuration — налаштування розкладів резервного копіювання, місць призначення та зберігання
• WHM Plugins — встановлення та управління сторонніми плагінами WHM (Softaculous, Imunify360, JetBackup тощо)

Усунення проблем з доступом до WHM

Порт 2087 недоступний

Це найпоширеніша причина відмови доступу. Причини та рішення:

• Брандмауер блокує порт 2087 — перевірте, чи брандмауер сервера (iptables, firewalld або CSF) має відкритий порт 2087. Виконайте `iptables -L -n | grep 2087` або перевірте `/etc/csf/csf.conf` у CSF на наявність правил `TCP_IN`. Також переконайтеся, що зовнішній брандмауер або група безпеки вашого хостинг-провайдера (якщо застосовно) дозволяє порт 2087.
• Служба cpsrvd не запущена — WHM обслуговується демоном `cpsrvd`. Якщо він зупинений, доступ неможливий. Перезапустіть його через SSH: `service cpsrvd restart` або `/usr/local/cpanel/scripts/restartsrv_cpsrvd`
• IP-адреса змінилася — якщо IP сервера змінився (наприклад, після переналаштування мережі), відповідно оновіть URL для доступу

Помилки автентифікації та блокування

• Блокування cPHulk — якщо ваш IP заблоковано cPHulk після невдалих спроб входу, додайте свій IP до білого списку через SSH: відредагуйте `/etc/cphulk/whitelist` або використайте WHM API. Як альтернатива, тимчасово вимкніть cPHulk: `whmapi1 set_cphulk_config enabled=0`
• Вхід root вимкнено — деякі захищені конфігурації вимикають прямий вхід root до WHM. У цьому випадку використовуйте користувача з правами sudo або повторно увімкніть вхід root через SSH та конфігурацію cPanel
• Забутий пароль root — скиньте через SSH за допомогою `passwd root` або через позасмугову консоль вашого хостинг-провайдера (IPMI/KVM), якщо SSH-доступ також недоступний

Проблеми з SSL та браузером

• Змішаний вміст або цикли перенаправлення — виникають при доступі до WHM через зворотний проксі або CDN. До WHM слід звертатися безпосередньо через IP сервера або ім’я хоста, яке безпосередньо вказує на сервер, а не через Cloudflare або подібні проксі
• Невідповідність імені хоста в сертифікаті — самопідписаний сертифікат видається для налаштованого імені хоста сервера. Якщо ви звертаєтеся до WHM через IP-адресу, попередження про невідповідність імені хоста неминуче, поки не буде встановлено належний сертифікат
• Кеш браузера — застарілі файли cookie сесії можуть спричиняти цикли перенаправлення. Очистіть дані сайту конкретно для URL WHM або використовуйте приватне/анонімне вікно

WHM завантажується, але функції відсутні

• Обмеження ACL реселера — якщо ви увійшли як реселер і певні функції відсутні, root-адміністратор обмежив ці функції через ACL. Зверніться до root-адміністратора для коригування дозволів.
• Проблеми з ліцензією — cPanel/WHM вимагає дійсної ліцензії, прив’язаної до IP-адреси сервера. Прострочена або недійсна ліцензія переводить WHM в обмежений режим. Перевірте статус ліцензії на `https://verify.cpanel.net/`

Контрольний список захисту WHM

Запуск WHM на виробничому сервері без захисту є значною загрозою безпеці. Застосуйте ці заходи відразу після підготовки сервера:

• Увімкніть 2FA для root та всіх облікових записів реселерів — WHM Security Center > Two-Factor Authentication
• Увімкніть cPHulk з агресивними порогами та додайте свої адміністративні IP до білого списку
• Вимкніть вхід root по SSH за паролем — використовуйте виключно автентифікацію за SSH-ключем
• Встановіть CSF/LFD та налаштуйте його для блокування сканерів портів, спроб брутфорсу та вихідного SMTP від процесів, що не є поштовими
• Налаштуйте AutoSSL для видачі дійсних сертифікатів Let’s Encrypt для імені хоста сервера та всіх розміщених доменів
• Обмежте доступ до компілятора — WHM Security Center > Compiler Access
• Увімкніть ModSecurity через EasyApache 4 з надійним набором правил (OWASP CRS або Imunify360)
• Встановіть надійну політику паролів — WHM Security Center > Password Strength Configuration
• Регулярно перевіряйте ACL реселерів — видаляйте дозволи, які явно не потрібні
• Налаштуйте віддалений транспорт резервних копій — ніколи не зберігайте єдину копію резервних копій на тому ж сервері

Матриця рішень: коли використовувати WHM проти альтернатив

Ключові технічні висновки

• WHM працює на порту 2087 (HTTPS) та 2086 (HTTP); переконайтеся, що ці порти відкриті як у брандмауері на рівні ОС, так і в будь-якому мережевому брандмауері вище за ієрархією
• Демон `cpsrvd` повинен бути запущений для доступу до WHM; це перше, що слід перевірити, коли WHM недоступний
• Ніколи не запускайте WHM без 2FA на обліковому записі root — порт 2087 активно сканується автоматизованими ботами
• AutoSSL усуває необхідність ручного управління сертифікатами для всіх розміщених доменів; налаштуйте його відразу після підготовки сервера
• ACL реселерів є основним механізмом делегування адміністративного доступу без надання прав root — регулярно перевіряйте їх
• EasyApache 4 є правильним інструментом для управління версіями PHP та розширеннями; обхід його за допомогою менеджерів пакетів ОС порушує конфігурацію обробника cPanel
• Віддалений транспорт резервних копій не є необов’язковим у виробничому середовищі — резервні копії на сервері створюють хибне відчуття безпеки
• Можливість DNS-кластеризації WHM є необхідною для будь-якого багатосерверного середовища, що вимагає надмірності серверів імен

Часті запитання

У чому різниця між WHM та cPanel?

WHM — це адміністративний інтерфейс на рівні сервера, який використовується root-адміністраторами та реселерами для створення облікових записів cPanel та управління ними, налаштування серверних служб та контролю політик безпеки. cPanel — це інтерфейс на рівні облікового запису, який використовується окремими власниками сайтів для управління власними файлами, базами даних, електронною поштою та доменами. WHM створює облікові записи cPanel та управляє ними; cPanel не може управляти іншими обліковими записами або загальносерверними налаштуваннями.

Який порт використовує WHM і чи можна його змінити?

WHM використовує порт 2087 для HTTPS та порт 2086 для HTTP за замовчуванням. Порт визначається демоном `cpsrvd` і не може бути змінений на довільний через стандартний інтерфейс WHM. Якщо порт 2087 заблоковано брандмауером, URL-адреси з перенаправленням (`/whm`) також не працюватимуть, оскільки вони вказують на той самий порт.

Чи можна отримати доступ до WHM без облікових даних root?

Так. Облікові записи реселерів мають доступ до WHM, обмежений дозволами, наданими root-адміністратором через списки контролю доступу (ACL). Реселери можуть входити до WHM, використовуючи власне ім’я користувача та пароль, і управляти лише обліковими записами cPanel, що перебувають у їхній власності.

Чому WHM показує попередження про SSL-сертифікат при першому доступі?

За замовчуванням WHM використовує самопідписаний SSL-сертифікат, виданий для імені хоста сервера. Оскільки цей сертифікат не підписаний довіреним центром сертифікації, браузери відображають попередження безпеки. Це очікувана поведінка і її можна безпечно ігнорувати під час початкового налаштування. Постійним рішенням є встановлення дійсного SSL-сертифіката для імені хоста сервера за допомогою AutoSSL у WHM або шляхом ручного встановлення сертифіката через Manage Service SSL Certificates.

Що робити, якщо WHM недоступний після перезавантаження сервера?

Спочатку перевірте, чи служба `cpsrvd` запустилася коректно, підключившись через SSH та виконавши `service cpsrvd status`. Якщо запуск не вдався, перевірте `/usr/local/cpanel/logs/error_log` для отримання діагностичних даних. Також переконайтеся, що правила брандмауера для порту 2087 були відновлені після перезавантаження — деякі конфігурації брандмауера не зберігаються між перезавантаженнями без явних команд збереження (`service iptables save` або `csf -r`).