Configurações de segurança do servidor para Apache e PHP

Configurações de segurança do servidor para Apache e PHP
Índice
Algumas tarefas a serem realizadas para dar maior segurança e evitar problemas são:
Desabilite a exibição de erros e avisos no php, isso pode ser usado na fase de programação para ajudar o desenvolvedor a ver os erros e depois desabilitá-lo quando a web entrar na fase de produção.
Desative todas as notificações de erro
Usando as seguintes variáveis ​​no php.ini:
relatório_de_erro (0);
// Reportar apenas erros de execução
relatório_erro (E_ERROR | E_WARNING | E_PARSE);
// Reportar todos os erros exceto E_NOTICE
relatório_de_erro (E_ALL ​​E_NOTICE);
// Reportar todos os erros de PHP (error_reporting (E_ALL);
Eles também podem ser ativados e desativados colocando o código no início da página a ser executada.

É sempre importante corrigir e não esconder erros, muitos desenvolvedores usam error_reporting (0) para esconder erros, mas estes ainda estão lá e podem ser aproveitados, devemos sempre evitar que qualquer código que desenvolvemos tenha erros, seja php, javascript ou a linguagem que usamos.
É importante controlar as variáveis ​​e quais dados elas inserem.
Alterar a extensão do arquivo
Você pode alterar a extensão ao invocar e executar os scripts em php, em arquivos com extensão html.
No arquivo de configuração do apache (httpd.conf)
Procuramos a linha:
Aplicativo AddType / x-httpd-php

E adicionamos .htm e .html ao final, seria o seguinte:
AddType application / x-httpd-php .htm .html

Também podemos criar uma extensão personalizada para ocultar o tipo de arquivo do visitante
AddType application / x-httpd-php .bo .sol .tf
Isso é muito útil por motivos de segurança. Nós escondemos que o aplicativo está programado porque no navegador você verá apenas .html ou a extensão personalizada nos scripts que na verdade são php. Muitos sites usam esse método.
Verifique se register_globals está inativo
Desative register_globals e não permita a criação de variáveis ​​em tempo real, entre outras coisas com:
register_globals = Off

A partir do php.ini, isso força a declaração de todas as variáveis ​​ou apresentará um erro.
Desative URLs remotos para funções que lidam com arquivos
Isso serve para que um arquivo em nosso servidor não possa ser executado ou acessado de outro, no php.ini nós desativamos allow_url_fopen
allow_url_fopen = Off

Restringir em qual diretório o PHP pode ler ou executar qualquer script ou processo
open_basedir = /var/www/htdocs/midomino.com

Cada domínio pode modificar seu próprio php.ini se o administrador do servidor permitir, embora isso seja raro.
Desativar Apache HTTP TRACE
HTTP TRACE é usado para retornar o resultado da solicitação feita ao servidor.
Ele pode ser usado para ataques Cross Site Scripting ou XSS, portanto, é melhor desativá-lo por motivos de segurança.
Nós modificamos em / etc /httpd/conf/httpd.conf
TraceEnable desligado
Apache é um dos servidores web mais usados ​​e php é a linguagem mais usada para desenvolvimento web, com essas configurações e ferramentas podemos ajudar a reforçar a segurança de nossa web contra possíveis ataques.

Você vai ajudar o desenvolvimento do site, compartilhando a página com seus amigos

wave wave wave wave wave

Publicações Populares

wave
1
post-title
▷ Force a exclusão de pastas ou arquivos do Windows 10 ✔️
2
post-title
▷ Como alterar o status do PS5 ao fazer login
3
post-title
Construindo documentos XML com PHP
4
post-title
Como excluir dados de perfil sem excluir conta de usuário do Windows 10
5
post-title
Gadgets de área de trabalho do Windows 7

Recomendado

wave
- Sponsored Ad -

Escolha Do Editor

wave
- Sponsored Ad -