FTP připojení posílá přihlašovací údaje v nešifrované podobě, je tedy možné zachytit je v síťovém provozu a následně zneužít. Způsob jak tomu zabránit je šifrovat komunikaci při posílání přihlašovacích údajů, tzn použít FTPS.
Použití FTPS doporučujeme.
Přehled testovaných FTP klientů http://download.pureftpd.org/pub/pure-ftpd/doc/README.TLS, odstavec COMPATIBLE CLIENTS.
FTPS není stejné jako SFTP.

Soubry mají automaticky nastavená práva, která jsou trvale monitorována a standardizována bezpečnostním auditem, tak aby je mohl www server zobrazit (v případě PHP parsovat a poslat na výstup). Toto nastavení práv samozřejmě umožňuje manipulaci se soubory z PHP skriptů. Práva není možné měnit, není to ani potřeba.

Toto způsobuje náš FTP server, který z důvodu ochrany umožňuje výpis max X souborů a podobně omezuje rekurzi výpisu Y adresářů. Protože FTP operace provádí pouze přihlášení zákazníci, není důvod restrikcím. FTP server však neumožňuje vyřazení této ochrany, proto limit X = 9999 a Y = 99.

Můj počítač byl napaden virem (obvykle i přes přítomnost řádně aktualizovaného antivirového software) a byly mi touto cestou odcizeny přihlašovací údaje k FTP. Následně byl neoprávněně změněn obsah www stránek přes FTP.
Protože změna www stránek je provedena obvykle z IP adresy v číně apod., nikoliv virem z Vašeho počítače, nastavte si v ISPA u FTP účtu omezení přístupu na IP adresu. Předpokládá, že máte pevnou IP adresu nebo se Vaše IP adresa často nemění - případ kabelového nebo xDSL připojení. Při připojení přes mobil se IP adresa mění často. Virus pak nebude moct přistupovat přes FTP ani v případě správných přihlašovacích údajů, FTP klient bude mít nepovolenou IP adresu.