Izolacja stron WWW per domena (CageFS Isolates) to zaawansowany mechanizm ochronny dostępny na serwerach działających pod kontrolą CloudLinux. Rozszerza on klasyczną ochronę CageFS o dodatkowy poziom separacji – tym razem nie między kontami, lecz między poszczególnymi witrynami należącymi do jednego konta hostingowego. Dzięki temu nawet skuteczny atak na jedną ze stron nie pociągnie za sobą kompromitacji pozostałych.

• Czym jest izolacja stron WWW per domena?
• Jak technicznie działa izolacja stron WWW?
• Kiedy warto włączyć izolację per domena?
• Jak aktywować izolację per domena w cPanel?
• Izolacja a wybór wersji PHP

Czym jest izolacja stron WWW per domena?

Żeby zrozumieć, czym jest izolacja per domena, warto zacząć od podstaw. CageFS to system wirtualizacji środowiska użytkowników na serwerach współdzielonych. W klasycznym wariancie każde konto hostingowe działa we własnym, odizolowanym systemie plików i nie ma wglądu w dane innych użytkowników serwera. To solidna ochrona – ale działa wyłącznie na poziomie kont.

CageFS Isolates (izolacja per domena) przenosi tę ochronę o poziom niżej. Zamiast separować konta od siebie, tworzy odrębne środowiska dla każdej z witryn działających w ramach jednego konta. Oznacza to, że przejęcie kontroli nad jedną stroną – na przykład przez lukę w niezaktualizowanej wtyczce – nie daje atakującemu żadnego dostępu do pozostałych witryn tego samego właściciela.

Jak technicznie działa izolacja stron WWW?

Po aktywowaniu izolacji dla wybranej domeny system automatycznie przeprowadza w tle szereg operacji:

1. Generowanie unikalnego identyfikatora środowiska – każda izolowana witryna otrzymuje własny token, który jednoznacznie ją identyfikuje w systemie.
2. Tworzenie nakładkowego systemu plików (overlay storage) – dla domeny zostaje utworzona dedykowana warstwa przechowywania danych, fizycznie oddzielona od reszty konta.
3. Aktualizacja profilu konta hostingowego – konfiguracja zostaje uzupełniona o informację o nowo izolowanej domenie.
4. Inicjalizacja Per-Domain PHP Selector – środowisko PHP dla domeny budowane jest na bazie globalnych ustawień konta, lecz od tego momentu może być konfigurowane całkowicie niezależnie.
5. Aktualizacja CageFS – jeśli jest to pierwsza domena objęta izolacją na koncie, CageFS przechodzi aktualizację niezbędną do obsługi nowych reguł.
6. Restart procesów PHP domeny – wszystkie działające procesy PHP przypisane do domeny zostają zatrzymane i uruchomione ponownie już w izolowanym kontenerze.
7. Uruchomienie monitorowania katalogu głównego – system rozpoczyna aktywny nadzór nad katalogiem document root domeny w ramach odizolowanego środowiska.

Kiedy warto włączyć izolację per domena?

Izolacja per domena to rozwiązanie praktycznie dla każdego, kto zarządza więcej niż jedną witryną w ramach jednego konta hostingowego. Oto sytuacje, w których sprawdza się najlepiej:

• Hosting wielodomenowy – prowadzisz kilka stron pod jednym kontem? Izolacja sprawia, że problemy z bezpieczeństwem jednej witryny – np. zainfekowana wtyczka WordPressa – nie rozprzestrzeniają się na pozostałe.
• Obsługa klientów przez agencje i freelancerów – firmy zarządzające projektami wielu klientów w ramach jednego konta mogą skutecznie rozdzielić ich dane i zasoby.
• Środowiska stagingowe – testy nowych funkcji na środowisku deweloperskim nie będą zagrażać stabilności ani bezpieczeństwu wersji produkcyjnej.
• Mieszane środowiska o różnym priorytecie bezpieczeństwa – gdy na tym samym koncie działa krytyczna aplikacja biznesowa obok mniej istotnego projektu, izolacja blokuje ewentualny „rykoszet” ataku.

Jak aktywować izolację per domena w cPanel?

[Tu wstaw zrzuty ekranu z panelu cPanel]

1. Zaloguj się do panelu cPanel.
   • Jak zalogować się do cPanel?
2. Przejdź do sekcji Zaawansowane i kliknij opcję: Wybór wersji PHP
   
   
3. Wybierz zakładkę: Ustawienia per domena
   
4. Pojawi się lista domen przypisanych do Twojego konta hostingowego. Aby objąć ochroną wszystkie witryny jednocześnie, skorzystaj z przycisku: Włącz izolację dla wszystkich
   
   
5. Poczekaj na potwierdzenie aktywacji – system automatycznie przeprowadzi wszystkie etapy konfiguracji środowiska izolowanego, w tym restart procesów PHP dla danej domeny.
   

Po włączeniu izolacji możesz wracać do tej sekcji i aktywować ochronę dla kolejnych domen w dowolnym momencie. Każda domena jest obsługiwana niezależnie – masz więc pełną elastyczność i możesz izolować wybrane witryny, pozostawiając inne bez tej warstwy ochrony.

Izolacja, a wybór wersji PHP

Izolacja per domena i wybór wersji PHP per domena to dwie funkcje, które ściśle ze sobą współpracują. Dzięki ich połączeniu każda izolowana witryna może działać na zupełnie innej wersji interpretera PHP i korzystać z własnego, niezależnego zestawu rozszerzeń. To szczególnie przydatne, gdy na jednym koncie utrzymujesz aplikacje o różnych wymaganiach – np. starszą instalację WordPressa potrzebującą PHP 7.4 i nowoczesny projekt oparty o PHP 8.3.

Każda izolowana domena:

• dziedziczy na starcie globalną konfigurację PHP przypisaną do całego konta jako punkt wyjścia,
• może mieć niezależnie ustawioną wersję PHP – od 7.4 aż po najnowsze wydania serii 8.x,
• umożliwia indywidualne zarządzanie rozszerzeniami PHP – włączasz i wyłączasz dokładnie to, czego potrzebuje dana aplikacja,
• działa w osobnym procesie PHP, całkowicie odseparowanym od pozostałych domen na koncie.