Tengo una cuenta de alojamiento web con lo que parece ser una empresa de alojamiento de buena reputación y preocupada por la seguridad (Siteground). Estoy usando autenticación de dos factores para iniciar sesión en mi cuenta con ellos, HTTPS para mi sitio y SSH para mover archivos hacia y desde el servidor. Sin embargo, la cuenta también tiene lo que parece ser un acceso FTP no cifrado que no se puede desactivar. Supongo que saben lo que están haciendo, pero parece que esto deja un riesgo de seguridad innecesario:
- Si inicio sesión a través de FTP, mi contraseña podría verse comprometida ya que alguien podría verla en texto sin formato. Simplemente no puedo usar FTP, pero parece que sería más seguro simplemente no permitir la conexión.
- Alguien podría ingresar por la fuerza bruta a mi cuenta y adivinar mi contraseña, y las claves 2FA o SSH utilizadas para otros accesos a la cuenta serían discutibles.
Como dije, la empresa parece saber lo que está haciendo de otras maneras, entonces, ¿me estoy perdiendo algo?
Respuesta1
Estoy de acuerdo con usted. Sin embargo, FTP todavía está permitido en muchos hosts porque es la única herramienta que mucha gente usa para transferir archivos. Es una decisión comercial que debe tomar su empresa de hosting. Como mencionó Daniel, lo más importante es la limitación de la velocidad, la cantidad de intentos que permite su servidor y la espera entre intentos. Si existe un límite razonable, su FTP sigue siendo razonablemente seguro.
Le sugiero que le haga estas preguntas a su anfitrión. ¡Buena suerte!