Estoy usando BlueHost y tengo algunos sitios web en mi alojamiento. Decidí dejar de ser perezoso y comenzar a implementar algunas mejores políticas de seguridad por mi parte.
Como FTP no es seguro, cambié a SFTP. Lo extraño es que BlueHost no me permitirá eliminar dos de las cuentas de FTP en mi cuenta de BlueHost. Si estas dos cuentas nunca se usan, ¿siguen siendo un riesgo de seguridad?
La respuesta corta, sin matices es "Sí". Incluso si las cuentas no están en uso, existe un riesgo de fuerza bruta.
Una respuesta más larga sería "Sí, pero puede mitigar el riesgo". Sé que dijo que cambió a SFTP, pero no estoy claro si ha deshabilitado completamente el servicio FTP. Una buena parte del riesgo aquí se puede mitigar si puede (o ya tiene) fortalecer el servidor deshabilitando FTP.
Además, si estos usuarios solo tienen la capacidad de iniciar sesión en FTP, reducirá aún más el riesgo. Será difícil explotar las cuentas FTP si no hay un servicio FTP en ejecución y las cuentas solo pueden iniciar sesión en FTP.
No he ejecutado nada en Bluehost, así que no sé cuánto control te dan sobre lo anterior.
Sí, representan un riesgo. Si alguien logró forzar las contraseñas de forma bruta, puede haber una vulnerabilidad en el software que permita a los usuarios acceder a archivos a los que no deberían poder acceder o incluso hacer algún tipo de escalamiento de privilegios y obtener el control del proceso y posiblemente el sistema. Aunque no es probable, es posible.
Si no puedes deshabilitar FTP o las cuentas al menos hacen que las contraseñas sean muy largas y complicadas, por lo que es improbable que sean forzadas de forma bruta.
Lea otras preguntas en las etiquetas webserver account-security ftp sftp