跳到主要内容

如何使用Bluehost主机实现PCI合规

如果您在网站上处理信用卡支付,PCI合规至关重要。本指南解释了不同Bluehost主机类型下的合规工作原理,并提供了针对PCI扫描中常见问题的逐步解决方案。

重要提示:
Bluehost并不保证所有账户均符合PCI合规。您需要了解的内容如下:

  • 共享主机: 默认情况下不符合PCI合规。但您可以通过使用完整CDN解决方案,如Cloudflare,并将DNS完全指向其网络,实现合规。

  • VPS和独立主机: 这些账户可以实现PCI合规,但需用户自行正确配置环境。如果您有有效的PCI扫描报告,我们的支持团队可以帮助审核或解释结果。

  • 常见PCI扫描问题及解决方法

  • 实现PCI合规指南(VPS/独立主机用户)

  • 常见问题解答(FAQ)

  • 总结

常见PCI扫描问题及解决方法

以下是PCI扫描中常见的发现及对应的解决或理解步骤:

  • 弱加密套件
  • UserDir选项漏洞
  • Mod_FrontPage
  • Mailman登录信息泄露
  • /scgi-bin漏洞

弱加密套件

问题示例:


Protocol: TCP 
Port: 443 
Program:  https
Synopsis: The remote service allows the utilization of weak SSL ciphers. 
Description: The remote host permits the use of SSL ciphers that provide either insufficient encryption or no encryption whatsoever. 
See also http://www.openssl.org/docs/apps/ciphers.html
Solution:  Reconfigure the affected application if possible to avoid the use of weak ciphers.


说明:
此问题非cPanel相关,而是Apache配置文件(.conf)的问题。我们可通过报告的端口号判断。如果端口为20952082等,则为cPanel,需Bluehost管理员修复加密套件。但若端口为443,说明该域名的Apache .conf文件中缺少加密套件配置行。
解决方案:
请联系Bluehost支持团队以重建Apache。此操作将重新生成.conf文件并添加所需的加密套件配置行。

UserDir选项漏洞

问题示例:


Protocol: TCP
Port: 443/80 
Program: https/http


说明:
某些Apache发行版,尤其是Red Hat 7.0,允许攻击者通过请求用户主页(例如:http://host/~username)探测系统用户名。
禁用Apache配置文件(httpd.conf)中的UserDir指令以防止此类探测,但同时也会阻止用户提供自己的网页。另一种方法是为403(禁止访问)和404(页面未找到)响应指定错误文档。我们可以为账户禁用UserDir,需联系技术支持进行更改。
解决方案:
请求Bluehost支持团队禁用UserDir。确保同时更新标准和SSL的用户数据文件:

  • /var/cpanel/userdata/username/domain.com
  • /var/cpanel/userdata/username/domain.com_SSL

我们计划将来自动化此更改,目前仍需技术支持手动更新。

Mod_FrontPage

部分扫描会标记Mod_FrontPage,但这通常是误报

  • 我们当前版本:frontpage-2002-SR1.2(安全)
  • 通过EasyApache编译的Apache将fpexe替换为/scripts/fp-auth,该方式安全且非root运行。

无需采取任何操作。

Mailman登录信息泄露

问题示例:


Unencrypted Login Information Disclosure for the following link: http://example.com/mailman/admin/mailman


说明:
Mailman是全局配置的工具,无法针对单个账户禁用
放心说明:
Mailman通过suexec运行,意味着它以独立系统用户身份操作。即使被标记,也不会危及客户数据。Bluehost正在开发安全解决方案。

/scgi-bin漏洞

问题示例:


scgiwrap: Caller must be the nobody user


说明:
这是误报/scgi-bin别名仅以nobody用户身份运行,无法通过直接HTTP请求访问,如下所示:
无需采取任何操作。

实现PCI合规指南(VPS/独立主机用户)

  1. 使用可信第三方提供商运行PCI扫描。
  2. 审查扫描结果,关注SSL加密套件、UserDir或未加密的管理页面等问题。
  3. 联系Bluehost支持以:
    • 重建Apache(针对SSL加密套件)
    • 禁用UserDir
    • 审核/确认扫描结果
  4. 重新扫描网站以验证合规性。

共享主机用户可考虑使用Cloudflare的完整CDN模式以满足合规要求。

常见问题解答(FAQ)

问: 我可以在共享主机上实现PCI合规吗?
答: 默认不行。您需要完整的CDN设置,如Cloudflare,才能满足合规。

问: Bluehost是否保证PCI合规?
答: 不保证。合规性取决于您的环境配置和维护情况。

问: 你们能帮我解读PCI扫描报告吗?
答: 可以!我们的团队可以审核扫描报告并提出可行的建议。

问: 确保PCI合规最简单的方法是什么?
答: 使用VPS或独立主机并进行正确配置,您将拥有最大的控制权。

总结

如果您处理信用卡数据,PCI合规是必须的。虽然Bluehost共享主机默认不符合PCI合规,但使用Cloudflare等完整CDN可以帮助实现合规。我们的支持团队可协助VPS和独立主机用户进行配置更改,帮助他们满足PCI标准。请积极审查扫描结果并应用建议的修复措施,以保持网站安全和合规。