Los frecuentes ataques de piratas informáticos demuestran que la seguridad web sigue siendo el problema más importante para cualquier persona que haga negocios en Internet. Los servidores suelen ser el objetivo de estos ataques debido a la información que almacenan. Por eso es necesario garantizar una protección fiable del servidor.
Asegurar PHP en Apache
Inicie el protocolo "phpinfo ()" y verifique la línea con el comando "open_basedir". Con este comando puede definir el directorio base para todos los usuarios. Después de establecer este valor, ya no podrán abrir archivos fuera de esta carpeta raíz o sus subdirectorios, como "C: / Windows".
Si tiene otros directorios estructurales, defínalos como el directorio base con el comando "www_root". Sin embargo, un usuario también podrá leer y modificar los archivos de otro usuario. Esto debe evitarse.
Desafortunadamente, no hay opciones en el archivo php.ini para evitar que un usuario acceda a los datos de otro.
Pero hay una forma interesante si PHP se ejecuta en Apache. En phpinfo () encontrará dos columnas: Valor principal y Valor local. El primero es el valor en "php.ini". El segundo es un valor que se determina mientras el servidor está funcionando.
Si el valor principal es pequeño en términos numéricos, entonces se puede cambiar en el script usando el comando "ini_set ()". Esto no se aplica a "open_basedir" porque este valor es crítico para la seguridad y solo lo puede cambiar un administrador.
En Apache, el archivo de configuración "httpd.conf" se puede especificar en el manual con el valor local "open_basedir".
Otras configuraciones de PHP
Al configurar "disable_functions" en el archivo "php.ini", debe desactivar las funciones que son potencialmente peligrosas.
Piense detenidamente en cada acción que realice. Desactivar la función significa que algunos scripts dejarán de funcionar.
Algunas funciones son realmente peligrosas y no suelen ser necesarias para las secuencias de comandos. Otros pueden ser necesarios para propósitos específicos. Por lo tanto, no es fácil desactivar todas las funciones que pueden ser peligrosas, pero también sopesar cuidadosamente tus decisiones.
No crea que la función "safe_mode = On" por sí sola será suficiente. Puede desactivar algunas funciones útiles y es posible que no resuelva el problema de seguridad descrito anteriormente. El modo seguro está obsoleto en PHP 5.3.0 y se elimina en PHP 6.0.0.
Problemas de protección
Hay varios errores que un desarrollador web puede cometer y hacer que un sitio web sea inseguro.
Por ejemplo, si crea su blog y permite que los usuarios carguen imágenes, esto puede ser un peligro grave cuando el código lo escribe un principiante. Hay varios errores que un programador puede cometer en la página de inicio de sesión, etc. Uno de los más comunes es la falta de prohibición de descargar algoritmos maliciosos.
El punto importante es que un sitio inseguro en el alojamiento público es una amenaza para todo el servidor. Además, la instalación de proyectos de código abierto como PHP-Nuke puede ser arriesgada. Ya se han descubierto varias vulnerabilidades en proyectos similares.
