Poczta Cpanel FAQ - Pomoc Koszyk
English

Przypominamy o konieczności przestrzegania poniższych zasad bezpieczeństwa. Ich ignorowanie może doprowadzić do przejęcia dostępu do konta przez osoby niepowołane, umieszczenia szkodliwego oprogramowania na serwerze, rozsyłania spamu, a w konsekwencji nawet do tymczasowego zablokowania konta hostingowego. Polecamy dokładną lekturę tego dokumentu zarówno początkującym, jak i zaawansowanym użytkownikom naszych serwerów.

Hasła trudne do odgadnięcia i ich bezpieczne przechowywanie

Korzystanie z konta hostingowego wiąże się z koniecznością używania wielu haseł: do panelu klienta i cPanel, do kont FTP, kont pocztowych, baz danych, paneli administracyjnych strony (np. WordPress, Joomla). Część z nich ustawiamy raz i rzadko zmieniamy (np. hasło bazy danych), dlatego szczególnie ważne jest, aby były to hasła długie i trudne do odgadnięcia.

Za bezpieczne uznaje się przede wszystkim:

  • długie hasła (minimum 12–16 znaków), najlepiej oparte na losowej kombinacji znaków,
  • unikalne hasło do każdego serwisu,
  • brak powtarzania tych samych haseł w wielu lokalizacjach.

Dobrym rozwiązaniem jest stosowanie menedżera haseł (np. KeePass, 1Password czy narzędzia zintegrowanego z kontem Google), który generuje i bezpiecznie przechowuje długie, losowe ciągi znaków. Dzięki temu możesz korzystać z naprawdę mocnych, unikalnych danych logowania dla każdej usługi, bez konieczności ich zapamiętywania.

Warto podkreślić, że nawet jeśli hasło ma formę całego zdania lub rozbudowanej frazy, nie może ono w żaden sposób kojarzyć się z użytkownikiem: z jego życiem, zainteresowaniami, stylem pisania, miejscem zamieszkania czy aktualnymi wydarzeniami. Nie powinieneś używać w haśle słów takich jak „hasło”, imion, nazw własnych ani bieżącego roku - są to jedne z pierwszych elementów sprawdzanych w atakach słownikowych i hybrydowych.

Przykłady poprawnie skonstruowanych, silnych haseł (losowe, niepowiązane z użytkownikiem), to:

  • Dlugi.Zimowy.Spacer.Najlepszynakondycje#1067
  • Tojestniesamowity.WidokNowegomiasta@987654

Są to wyłącznie przykłady ilustracyjne. W praktyce hasła powinny być zawsze generowane automatycznie przez menedżer haseł, a nie tworzone ręcznie.

Przykłady słabych haseł, to:

  • test12345
  • qwerty
  • futrzak (imię twojego zwierzaka)
  • jankowalski (twoje imię i nazwisko)
  • nazwa firmy + 123

Nigdy nie wysyłaj haseł w wiadomościach e-mail – tradycyjna poczta elektroniczna bez szyfrowania transmisji może zostać podsłuchana. Nie przesyłaj haseł również w zgłoszeniach do pomocy technicznej – do zdiagnozowania problemów nie potrzebujemy Twojego hasła. Nasi pracownicy nigdy nie wyślą do Ciebie prośby o podanie hasła do Twojej usługi. Każda wiadomość z taką prośbą będzie pochodzić z nieautoryzowanego źródła i nie należy na nią odpowiadać.

Bezpieczny komputer i urządzenia, z którego logujesz się do usług

Silne i unikalne hasła nie zapewnią pełnej ochrony, jeśli urządzenie, z którego korzystasz, zostanie zainfekowane złośliwym oprogramowaniem. W takiej sytuacji atakujący może przechwytywać wpisywane dane logowania, śledzić aktywność, a nawet modyfikować działanie Twoich usług.

Dlatego zwróć szczególną uwagę na:

  • aktualność swojego oprogramowania antywirusowego oraz regularne skanowanie systemu,
  • instalowanie aktualizacji systemu operacyjnego i przeglądarki internetowej,
  • pobieranie oprogramowania wyłącznie z zaufanych źródeł,
  • nieotwieranie podejrzanych załączników i linków od nieznanych nadawców,
  • zabezpieczenie komputera i telefonu silnym hasłem oraz włączenie blokady ekranu,
  • unikanie logowania do paneli administracyjnych, poczty czy bankowości z przypadkowych lub niezabezpieczonych sieci Wi-Fi (np. otwartych sieci bez hasła),
  • upewnianie się, że korzystasz z połączenia szyfrowanego (https://) oraz właściwej domeny usługi — podrobione strony logowania to jeden z najczęstszych elementów ataków phishingowych,
  • włączenie dwuskładnikowego uwierzytelniania (2FA) wszędzie tam, gdzie jest dostępne (więcej o 2FA poniżej).

Jeśli urządzenie zostanie zainfekowane, złośliwe oprogramowanie może przechwycić wpisywane hasła, odczytywać dane zapisane w przeglądarce oraz manipulować ruchem sieciowym. Dlatego ochrona samego urządzenia jest równie ważna, jak stosowanie silnych haseł i dodatkowych zabezpieczeń. Możesz korzystać z menedżerów haseł w przeglądarce lub autonomicznych aplikacjach, ale pamiętaj, aby: zabezpieczyć komputer silnym hasłem do konta użytkownika, nie zostawiać odblokowanego urządzenia bez nadzoru, włączyć automatyczną blokadę ekranu po krótkim czasie bezczynności.

Ochrona kont pocztowych

Wszystkie omówione wyżej zasady dotyczą także kont pocztowych – w praktyce są one jednymi z najważniejszych zasobów. Przez przejętą skrzynkę e-mail atakujący może:

  • resetować hasła do innych usług,
  • rozsyłać spam i złośliwe oprogramowanie,
  • podszywać się pod Ciebie w korespondencji z klientami i kontrahentami.

Dlatego:

  • stosuj silne, unikalne hasło do każdego konta pocztowego,
  • włącz dwuskładnikowe uwierzytelnianie (2FA) tam, gdzie jest to możliwe (więcej o 2FA poniżej),
  • w konfiguracji klienta poczty zawsze korzystaj z szyfrowanych połączeń (IMAP/POP3/SMTP z SSL/TLS),
  • logując się przez webmail MSERWIS, korzystaj wyłącznie z adresów:

Phishing - podszywanie się i wyłudzanie danych

Współcześnie jednym z najczęstszych sposobów przejęcia konta nie jest „łamanie” hasła, ale nakłonienie użytkownika, żeby podał je sam. Służy temu phishing – podszywanie się pod zaufane instytucje, firmy lub systemy (np. bank, firmę kurierską, dostawcę poczty, panel hostingowy).

Typowe cechy phishingu to:

  • wiadomości e-mail czy SMS straszące zablokowaniem konta, wygaśnięciem hasła, niedostarczeniem poczty, problemami z płatnością,
  • prośba o „natychmiastową reakcję” i kliknięcie linka w wiadomości,
  • link prowadzący do strony logowania łudząco podobnej do oryginalnej, ale działającej w innej domenie (np. literówka w domenie, dodatkowy znak, inne rozszerzenie),
  • załączniki udające faktury, raporty lub dokumenty, a w rzeczywistości zawierające złośliwe oprogramowanie.

Podstawowe zasady ochrony przed phishingiem to:

  • zawsze sprawdzaj dokładny adres nadawcy i domenę, do której prowadzi link (najedź myszką na link i podświetl jego pełny adres, nie klikaj automatycznie),
  • nie podawaj hasła po kliknięciu linka z maila – jeśli masz wątpliwości, samodzielnie wpisz w przeglądarce adres serwisu (np. mserwis.pl, poczta.mserwis.pl, domeny.tv),
  • nie uruchamiaj załączników, co do których nie masz pełnego zaufania,
  • w razie wątpliwości skontaktuj się z naszym Biurem Obsługi Klienta.

Szerzej o phishingu, z licznymi rzeczywistymi przykładami fałszywych wiadomości napisaliśmy w artykule „Nie daj się zhackować. Jak rozpoznać phishing?”.

Dwuskładnikowe uwierzytelnianie (2FA) - dodatkowa warstwa ochrony

Nawet najlepsze hasło może zostać ujawnione – wskutek phishingu, wycieku danych z innego serwisu lub złośliwego oprogramowania na komputerze. Dlatego wszędzie tam, gdzie to możliwe, zalecamy włączanie dwuskładnikowego uwierzytelniania (2FA). Dodaje ono drugi etap logowania, niezależny od hasła. Dzięki temu samo hasło nie wystarczy do przejęcia konta.

Najważniejsze elementy 2FA to:

  • Logowanie wymaga dwóch składników: hasła oraz tymczasowego kodu.
  • Kod jest generowany najczęściej przez aplikację mobilną typu Google Authenticator.
  • Alternatywnie możesz używać kluczy sprzętowych U2F, które zapewniają jeszcze wyższy poziom ochrony.
  • Osoba znająca wyłącznie hasło nie uzyska dostępu do konta.
  • 2FA znacząco zwiększa bezpieczeństwo, nawet jeśli hasło zostanie ujawnione.

W MSERWIS możesz włączyć 2FA m.in. dla:

2FA dla cPanel

Dostęp do głównego konta cPanel oznacza dostęp do wszystkich plików, baz danych i kont pocztowych. To jedno z najważniejszych miejsc do zabezpieczenia.

W skrócie:

  • zaloguj się do cPanel przez https://www.mserwis.pl/panel,
  • przejdź do sekcji „Zabezpieczenia” i wybierz „Uwierzytelnianie dwuelementowe”,
  • zeskanuj wyświetlony kod QR na swoim smartfonie np. przy użyciu aplikacji Google Authenticator,
  • przepisz kod jednorazowy z aplikacji i zakończ konfigurację.

Szczegółową instrukcję krok po kroku (ze zrzutami ekranu) znajdziesz w artykule: „Jak nie dać się zhakować? Zabezpiecz dostęp do Twoich usług hostingowych”:

2FA dla poczty Webmail

Webmail daje dostęp do całej korespondencji, a także do funkcji takich jak przekierowania (forwardy) czy autorespondery. Przejęcie tego dostępu może pozwolić atakującemu na:

  • przekierowanie Twojej poczty na inny adres,
  • resetowanie haseł do innych usług,
  • zdobycie wrażliwych danych (umowy, dane osobowe, informacje o klientach).

Dlatego rekomendujemy włączenie 2FA także dla webmaila. W tym celu:

  • zaloguj się do webmaila przez https://www.mserwis.pl/panel lub bezpośrednio przez https://poczta.mserwis.pl/,
  • wejdź w ustawienia webmaila i wybierz opcję uwierzytelniania wieloetapowego (2FA),
  • dodaj aplikację mobilną, skanując kod QR np. w Google Authenticator,
  • przepisz kod jednorazowy i zatwierdź zmiany.

Szczegółowa konfiguracja 2FA dla webmaila (wraz z ilustracjami) opisana jest w artykule o zabezpieczaniu dostępu.

Aktualizacje oprogramowania Open Source

Oprogramowanie CMS typu WordPress czy Joomla jest proste w instalacji, popularne i szeroko wykorzystywane na całym świecie. Z tego powodu jest również częstym celów ataków.

Producenci regularnie publikują nowe wersje, które:

  • dodają nowe funkcje,
  • usuwają błędy,
  • przede wszystkim łatają luki bezpieczeństwa.

Na naszych serwerach widzimy instalacje WordPressa lub Joomli, które nie były aktualizowane przez wiele lat. Uzyskanie nieautoryzowanego dostępu do panelu administracyjnego takiej strony jest wówczas stosunkowo proste. Atakujący może zmodyfikować treść serwisu, umieścić szkodliwe oprogramowanie lub wykorzystać stronę do rozsyłania spamu. W przypadku wykrycia takich działań często jesteśmy zmuszeni do czasowej blokady konta do momentu usunięcia problemu.

Dlatego pamiętaj:

  • regularnie aktualizuj główne oprogramowanie CMS (WordPress, Joomla),
  • aktualizuj wszystkie zainstalowane motywy i wtyczki (rozszerzenia),
  • nie instaluj dodatków z nieznanych lub niezweryfikowanych źródeł,
  • usuwaj lub wyłączaj dodatki, z których przestajesz korzystać.

Aktualizacje w wielu przypadkach można wykonać bezpośrednio z poziomu panelu administracyjnego CMS i trwają one chwilę. Warto jednak wykonywać je regularnie oraz – w przypadku większych zmian – po wcześniejszym wykonaniu kopii bazy danych. W większości systemów, takich jak WordPress, możesz również włączyć automatyczne aktualizacje, co pozwoli Ci na szybsze łatanie wykrywanych luk bezpieczeństwa bez konieczności ręcznej ingerencji.

Usuwanie nieużywanego oprogramowania

Jeśli przestajesz korzystać z danego oprogramowania na serwerze, usuń je. Zyskasz:

  • więcej wolnego miejsca na koncie,
  • mniejsze ryzyko, że stara, zapomniana instalacja z nieaktualnym kodem stanie się furtką dla atakującego,
  • lepszą ogólną wydajność i przepustowość – serwer nie musi obsługiwać niepotrzebnego kodu, co przekłada się na szybsze działanie strony i mniejsze obciążenie zasobów.

Dotyczy to również:

  • starych testowych instalacji WordPressa/Joomli,
  • nieużywanych motywów i wtyczek,
  • skryptów pozostawionych „na później”, do których już nie zaglądasz.

Nie ma potrzeby trzymania wielu wtyczek, jeśli aktywnie korzystasz tylko z jednej czy dwóch. Mniej kodu na serwerze to mniejsza powierzchnia potencjalnego ataku.

Udostępnianie haseł do usług osobom trzecim

Udostępnianie haseł komukolwiek – niezależnie od tego, czy jest to wykonawca strony internetowej, administrator, znajomy pomagający w nagłym wypadku, czy zewnętrzna firma – wiąże się z realnym ryzykiem. W praktyce właśnie w takich sytuacjach może dojść do naruszeń bezpieczeństwa, ponieważ:

  • nie masz pełnej kontroli nad tym, w jaki sposób dana osoba przechowuje Twoje hasła,
  • nie wiesz, czy jej komputer i środowisko pracy są odpowiednio zabezpieczone,
  • nie masz pewności, czy dostęp nie zostanie przekazany kolejnym osobom,
  • nie zawsze możesz zweryfikować, jakie działania zostały wykonane po zalogowaniu na Twoje konto.

Dlatego:

  • nigdy nie przekazuj nikomu głównego hasła do swoich kont,
  • jeżeli musisz udzielić dostępu, twórz osobne, ograniczone konta (np. osobne konto FTP z dostępem wyłącznie do konkretnego katalogu),
  • nigdy nie udostępniaj haseł przez e-mail ani w komunikatorach bez szyfrowania,
  • po zakończeniu współpracy natychmiast zmień lub usuń dane logowania,
  • regularnie weryfikuj listę użytkowników w panelu CMS oraz cPanel.

Większość naruszeń bezpieczeństwa, które analizujemy na naszych serwerach, ma źródło nie w atakach technicznych, lecz w niewłaściwym udzielaniu dostępu osobom trzecim. Warto traktować to jako realne zagrożenie, a nie formalność.

Co robić, gdy konto zostało zainfekowane

Jeśli podejrzewasz, że konto zostało zainfekowane lub przejęte, działaj według poniższych kroków:

  1. Zabezpiecz dostęp do usług:
    • zmień główne hasło do konta hostingowego,
    • zmień hasła do wszystkich kont FTP,
    • zmień hasła do kont pocztowych,
    • zmień hasło do panelu administracyjnego CMS (WordPress, Joomla),
    • włącz (lub sprawdź) 2FA tam, gdzie to możliwe.
  2. Sprawdź utworzone konta użytkowników w panelu administracyjnym CMS:
    • usuń nieznane konta,
    • ogranicz uprawnienia do minimum potrzebnego do pracy.
  3. Usuń złośliwe oprogramowanie z serwera:
    • przejrzyj pliki pod kątem nietypowych nazw i ostatnich dat modyfikacji,
    • jeżeli korzystasz z WordPressa lub Joomli, rozważ użycie dodatkowego skanera bezpieczeństwa (wtyczki) w panelu CMS.
    • skorzystaj z logów w katalogu access_logs, aby sprawdzić, z jakich adresów IP i przez jakie skrypty były wykonywane podejrzane operacje. Logi znajdziesz po zalogowaniu się do cPanel – w sekcji „Metrics” (Statystyki).
  4. Zaktualizuj oprogramowanie:
    • upewnij się, że WordPress czy inny CMS i wszystkie wtyczki oraz motywy są zaktualizowane do najnowszych wersji,
    • usuń nieużywane dodatki.

W wielu przypadkach samo „podczyszczenie” plików nie wystarczy – złośliwy kod może znajdować się w wielu miejscach. Najpewniejszym rozwiązaniem jest:

  • wykonanie pełnej, świeżej instalacji oprogramowania (WordPress czy innego CMS),
  • wgranie wyłącznie niezbędnych, zaufanych motywów i wtyczek,
  • pozostawienie dotychczasowej bazy danych (o ile nie została uszkodzona) i podpięcie nowej instalacji do istniejącej bazy, aby zachować treści.

Nie zalecamy przywracania starych kopii bezpieczeństwa „w ciemno”, jeśli nie masz pewności, że nie zawierają one złośliwych plików.

Jeżeli potrzebujesz wsparcia w analizie infekcji i usunięciu skutków ataku, możesz skorzystać z naszej usługi oczyszczania z wirusów WordPress i Joomla. W ramach tej usługi wykonujemy niezbędne prace związane z oprogramowaniem umieszczonym na koncie:

https://www.mserwis.pl/usuwanie-wirusow-wordpress-joomla-drupal

Dodatkowe źródło wiedzy - poradniki MSERWIS

Polecamy również zapoznanie się z poradnikami dotyczącymi najpopularniejszych oprogramowań Open Source:

  • Konserwacja, aktualizacja oprogramowania WordPress:

https://www.mserwis.pl/konserwacja-wordpress

  • Konserwacja, aktualizacja oprogramowania Joomla:

https://www.mserwis.pl/konserwacja-joomla

oraz artykułami na blogu MSERWIS:

  • Jak nie dać się zhakować? Zabezpiecz dostęp do Twoich usług hostingowych

https://www.mserwis.pl/blog/jak-nie-dac-sie-zhakowac-zabezpiecz-dostep/

  • Nie daj się zhackować. Jak rozpoznać phishing?

https://www.mserwis.pl/blog/nie-daj-sie-zhackowac-jak-rozpoznac-phishing/

Powrót do tematów pomocy