获取有关 FTP 的事实:您应该使用 FTP 来管理 WordPress 文件吗?

文件传输协议 (FTP) 是一种与发送文件一样基本的方法——没有铃声,没有口哨……甚至没有太多安全可言.它是在"黑客"这个词与计算机无关的时代发明的,所以问题是,FTP 是时候最终退休了吗?

互联网并不总是像现在这样的雷区,我们必须在点击每个链接之前仔细检查它,并不断担心我们的连接有多安全.

安全不像今天这样令人担忧,黑客不是一种职业,人们通过电子邮件发送他们的银行详细信息.

这意味着在 FTP 的早期,它只有一项工作——将文件从 A 传输到 B.

这可以是任何事情,从将网站内容上传到服务器(在 WordPress 世界中常用)到从在线存储库下载软件包,甚至只是传输对于电子邮件来说太大的文件.

数十年来,它可能一直是文件传输世界的支柱,但现在有了更现代和更安全的方法,是时候将 FTP 与电报和传真机一起搁置了吗?

当然,今天我们要看看为什么......

中间人攻击

你有没有玩过童年游戏,你和一个朋友来回扔球,而另一个玩家站在中间试图拦截它?

这是描绘中间人攻击期间发生的事情的好方法(特别是如果中间人是隐形的!).

Image of three children playing the childhood game where the person in the middle tries to snatch the ball.
如果中间的人接球(或数据),你输了.

攻击可以有几种不同的形式,但主要概念是两方在彼此之间传递信息,中间有人拼命试图从他们那里抢夺信息.

他们的范围可以从默默观察数据交换而攻击者寻找机会利用信息为自己谋利,或者通过在中间设立营地并操纵信息来中断交换.

 

Image of a hacker in between a laptop and server breaking the chain of communication.
攻击者可以完全打破双方之间的通信链.

这意味着,如果交易敏感信息(例如银行详细信息或客户信息),攻击者将有机会.

当然,除非数据是加密的.

如果文件被加密,这应该不会引起太大的关注,因为如果中间的男人(或女人)设法拿到文件,他们将完全无法读取.

把它想象成只能说英语,并用精灵语处理大量文件,而无法翻译它们.

当谈到中间人攻击时,关键是要保持警惕,并承认只要您连接到互联网,您就可能容易受到某种形式的攻击.

虽然确保您的文件仅通过加密渠道发送,这是一个明智的备份,以防您的通信渠道遭到破坏,但您应该首先积极尝试防止攻击者访问您的文件.

执行此操作的简单方法包括:

  • 使用虚拟专用网络 (V-P-N),尤其是在连接到公共网络时
  • 不要使用没有安全密码保护的 WiFi 连接
  • 切勿通过公共网络进行金融交易或发送敏感数据
  • 小心浏览器标记为不安全的网站.

如果您采取了所有这些预防措施,但仍然有人设法访问您的文件(现在黑客真的很聪明-想想机器人先生),至少您有这样一个事实,即您的文件已加密以供依赖……

……当然,除非您使用 FTP 发送它们.

为什么 FTP 仍然是一种东西?

如果我跑遍世界,FTP 会立即被扔进垃圾桶.

它已经过时,不安全,而且有其他更安全的替代品可供使用,很难找到人们仍然依赖它的正当理由.

那么,为什么人们仍然使用它?

人们不喜欢变化

FTP 的存在时间比互联网还长.

不,说真的-该规范是在 1971 年编写的,比互联网和万维网诞生的时间早十多年.

因此,大约 50 年前创建的概念在 2020 年不能完全满足我们的需求,这并不令人意外.

但是,正如许多开发人员所说,"如果它有效,请不要碰它".

FTP 仍然会做它应该做的事情,即将文件从一个服务器移动到另一个服务器......直到你成为攻击的目标.

把它想象成你的前门没有上锁.您知道小偷存在,您甚至可能认识过去曾有人闯入过他们的房子,但是您是否曾在去商店时不锁门?

无懈可击的错觉,或乐观偏见,是通常是某人未采取适当预防措施的原因.人们不愿意相信坏事可能会发生在他们身上,因此在它发生之前,他们更有可能承担不必要的风险.

有这么多更安全的替代方案,可以肯定地说,在您亲身体验 FTP 的风险之前放弃 FTP 是明智的.

FTP 比 SFTP 快

如果您在成为 FTP 的忠实用户多年后使用 SFTP 连接到服务器,您可能会对与过去相比的速度下降感到有些失望.

这是因为有 在使用 FTP 时不存在的 SFTP 传输过程中发生了许多额外的数据包和加密.

有一些值得为了速度而牺牲的东西,但是,安全性可能不是其中之一.

某些法规禁止使用 FTP

是的,你没看错.

众所周知,FTP 不是一种安全的文件传输方法,因此许多国家/地区已将其取缔.

有各种规定可以和不可以传输数据,包括《健康保险流通与责任法案》(HIPAA),该法案禁止医疗保健组织及其业务合作伙伴使用 FTP 传输文件.它指出只能使用 SFTP 进行传输,甚至可能需要满足其他组件以确保合规性.

对于任何形式的卡交易,支付卡行业数据安全标准 (PCI-DSS) 规定,只有在绝对必要时才应通过 FTP 发送卡详细信息,并要求 发送者记录传输的完整细节,包括端口和防火墙设置以及使用这种方法的原因.

通用数据保护条例 (GDPR) 将个人数据定义为与 "已识别或可识别的自然人('数据主体')". 这意味着它包括有关个人的数据,例如"姓名、身份号码、位置数据、在线标识符或特定于该自然人的身体、生理、遗传、精神、经济、文化或社会身份的一个或多个因素."

有太多的信息可以归入这一类,所以谨慎行事绝对比抱歉要好.即使您不认为您发送的数据特别有价值,您也应该在选择 FTP 之前检查以确保它不属于 GDPR 或其他类似法规的范围.

更好的是,您可以永远改用另一种方法.

最重要的是,如果您发送的数据是机密的、敏感的,或者包含任何如果落入坏人之手就会造成危险的信息,那么 FTP 就不够用了.

FTP 的替代方案

我可以坐在这里一整天,对一劳永逸地合并 FTP 并切换到更安全的东西的重要性赞不绝口,但如果这会带来很多额外的麻烦或需要额外的工具或成本,我知道很多的人不会被说服.

好消息是,其他文件传输方法在用户端看起来完全相同.

您实际上可以使用相同的客户端并执行相同的步骤-您只需告诉客户端您正在使用哪种方法.

Screenshot of FileZilla showing how to switch from SFTP to FTP.
在 FileZilla 中,您可以通过以下方式轻松地从 FTP 切换到 SFTP前往编辑>设置.
Screenshot from FileZilla showing the different encryption methods.
如果您选择 FTP 作为传输方式,它会自动如果可用,请将加密设置为"FTP over TLS".

正如您从屏幕截图中看到的,有一个选项可以使用普通 FTP,但是它会警告您它不安全.

只有端口号应该不同——在用户端,无论你使用哪种方法,界面看起来都是一样的,所以实际上没有理由选择不安全的 FTP 选项.

FTP 对 FTPS

FTPS(安全文件传输协议)是您的简单 FTP,增加了 TLS(传输套接字层)或 SSL(安全套接字层)的安全性.

这一额外的安全层可确保使用证书对连接进行身份验证,以便客户端和服务器可以形成可信且安全的连接.

只要存在所需的证书,就可以提供良好的保护.

当然,我们始终建议您在您的网站上拥有一个证书,以向访问者保证其合法性并确保连接安全,但如果这不可能,例如,如果您要将文件上传到一个新网站目前正在研究中,SFTP 可能是更好的选择.

一路 SFTP

所以我们已经多次提到 SFTP,但让我们快速了解一下它的确切含义.

安全文件传输协议 (SFTP) 还具有 FTP 无法从中受益的保护层,它以 安全外壳 (SSH) 连接的形式出现.

当您使用 SSH 连接时,您的文件会被加密,并且只能使用收件人的 SFTP 客户端将持有的密钥解密.

这意味着,尽管接收服务器可能没有像 FTPS 那样使用证书进行身份验证,但您的文件在传输过程中是"防弹"的,因为它们是完全加密和受保护的.

如果您读到这里仍然认为 FTP 在当今的在线环境中具有任何形式的价值,那么我很欣赏您的承诺.

但是,如果您没有使用 FTP 的真正原因,我建议您查看我们最近的博客,该博客探索 SFTP 的来龙去脉,并向您展示如何使用使用它(提示:除了端口号和额外的安全性之外,它与 FTP 完全相同).

如果这没有改变你的想法,至少我试过了!

标签:

6

发表回复