本人曾于2020-10-24建议官方取消备份插件的删除功能(【已收录】强烈建议取消阿里云OSS删除功能),然而官方只是修复了阿里云OSS及腾讯云COS等备份插件的API密码未加密安全隐患,仍然保留了这些插件的直接删除备份数据功能!
今天,再次有客户宝塔面板被黑,导致网站被清空,更可悲的是,因为备份插件的删除功能,云备份也全部被删除!!!
作为腾讯云COS或者阿里云OSS的管理员,我们完全有权限在相应的官方网站进行数据操作,根本不需要在宝塔里面增加这个删除操作(本人使用宝塔多年,从未在宝塔里面进行过COS或者OSS的数据删除),那么这个删除功能就成了黑客删除用户最后一道防线的工具!
因此,本人再次强烈建议官方优化阿里云OSS或者腾讯云COS插件,移除删除功能,防止黑客借助此功能删除用户最后的数据备份!
安全无小事,数据无价!宝塔作为一个以安全著称的公司,如果依然无视这种安全隐患,那我认为是极为不负责任的,我相信这种遭遇也不止这一两次,更不可能只要这一两个人受害,这种鸡肋的删除功能,对网站管理者来说毫无意义,而对成功黑入面板的黑客来说,无疑是他们彻底破坏用户网站备份数据的最佳工具!
再次强烈建议,取消COS及OSS等备份插件的删除功能,并对此类插件增加二级密码,为用户的网站备份数据,增加最后的防线!!!!
再次强烈建议,取消COS及OSS等备份插件的删除功能,并对此类插件增加二级密码,为用户的网站备份数据,增加最后的防线!!!!
再次强烈建议,取消COS及OSS等备份插件的删除功能,并对此类插件增加二级密码,为用户的网站备份数据,增加最后的防线!!!!
|
|
运维要高效,装宝塔
