Når kontrolpanelet bliver det svage led: Lektioner fra cPanel-sikkerhedshullet

Hvis du har håndtert en server, ved du godt, hvad cPanel og WHM betyder. Det er her, du styrer domains, SSL-certifikater, email, databaser og alt muligt andet. Så når et hul lader nogen smutte forbi login helt uden adgangskoder, er det ikke bare en fejl. Det er en alarmklokke.

Hullet, der ramte alle

Den 28. april 2026 smed cPanel en bombe: Et kritisk bypass af autentificering ramte næsten alle versioner af cPanel og WHM – selv dem, der var udgået. Fejlen sad ikke gemt i koden. Den lå lige i login-delen og gav fri adgang uden legitimering.

Værre var, at angribere allerede udnyttede det, før patchen kom.

Ja, du læste rigtigt. Hackere havde gjort det til et våben og angreb servere, mens cPanel og udbydere kæmpede for at rulle fixes ud. KnownHost, en stor spiller i managed hosting, bekræftede angreb på deres setup.

cPanel kaldte det et "brancheproblem". Mildt sagt.

Branchegensvaret: Timer, der føltes som uger

Hosting-branchen er sjældent lynhurtig, men her skiftede de gear.

Straks efter advarslen kom store udbydere i gang:

• KnownHost blokerede cPanel- og WHM-porter kl. 14:39 lokal tid
• hosting.com trak panelet offline på alle servere
• Namecheap, HostPapa og InMotion Hosting lukkede porter på netværksniveau

De ramte standardporterne: 2082/2083 (cPanel HTTP/HTTPS), 2086/2087 (WHM HTTP/HTTPS), 2095/2096 (Webmail) og 2077/2078 (WebDisk).

Vigtigt: Dine sites, databaser, email og apps kørte videre som vanligt. Kun admin-adgangen blev blokeret – præcis det rigtige mod uautoriseret indtrængen.

Patchen kom 2-3 timer efter offentliggørelsen. Fuld udrulning tog yderligere 4-5 timer. Om aftenen var det meste lukket.

Hvad det betyder for din setup

Hendelsen banker nogle hårde lektioner ind om hosting-sikkerhed:

1. Kontrolpanelet er guldet

cPanel eller WHM er nøglen til hele serveren. En indtrænger kan lave brugere, ændre DNS, stjæle SSL, grave i databaser og sniffe email. Auth-bypass er det værste, der findes.

2. Zero-days bliver hurtigt kendte

At exploits cirkulerer før patches er normen nu. Angribere scanner automatisk, når noget dukker op. Har du et panel online? Forvent probing med det samme.

3. Hurtig koordinering redder dagen

Branchen lukkede hurtigt ned og prioriterede sikkerhed over tilgængelighed. Det fortjener ros.

Hvad du gør nu

Kører du cPanel eller WHM?

• Tjek, om patchen er på plads. Spørg din udbyder, hvis du er i tvivl. Automatiske updates er ikke garanti.
• Gennemse adgangslogs for mistænkelige forsøg fra 28. april og frem.
• Skift vigtige passwords på serverkonti – bedre sikre end sorry.
• Begræns adgang via IP, hvis muligt.

Vælger du udbyder?

• Spørg om deres sikkerhedsprocedure. Hvor hurtigt patcher de? Kommunikerer de?
• Tjek redundans. Kan du styre uden panelet?

Det store billede: Flere lag af forsvar

Begivenheden viser, hvor risikabelt det er at stole på ét panel. God hosting har lag:

• Two-factor authentication (selvfølgelig)
• IP-whitelisting til admin
• Separate API-nøgler til automatisering
• Audit-logs på alle handlinger
• Regelmæssige sikkerhedsscans

Hos NameOcean bygger vi på det. Vibe Hosting bruger AI til at spotte mistænkelige adgange i realtid.

Den hårde sandhed

Det her bliver ikke det sidste store hul. cPanel-minderen viser: Selv moden software kan krash. Det handler om din respons, info og udbyderens rygrad.

De hurtige udbydere reddede kunderne den 28. april. De langsomme udsatte dem for fare.

Når du vælger hosting, tænk: Ville de gøre det samme for dig?

Har du været ramt af et sikkerhedsproblem hos din udbyder? Hvordan reagerede de? Branchen bliver klogere, når vi deler. Skriv til os på Twitter eller via NameOcean-dashboardet.