Impedire l'accesso alla fonte della mia pagina PHP?

0

Se pubblico una pagina PHP (ad esempio mypage.php ) sul mio spazio web ospitato (l'URL della pagina PHP è pubblicamente noto, ad esempio http://example.com/mypage.php ), un hacker può accedere in qualche modo al Fonte PHP di questa pagina PHP? Se sì, come posso impedirlo?

L'origine della pagina può essere:

  • Solo codice PHP
  • Codice misto PHP e HTML
security  php 
user1580348
fonte

Risposte:

0

un hacker può accedere in qualche modo alla fonte PHP di questa pagina PHP?

Sì.

Se sì, come posso impedirlo?

Bene, questo richiede sapere come potrebbero accedervi.

Un hacker potrebbe ottenere l'accesso al tuo server tramite SSH (nel caso di un server privato virtuale) o potrebbe rubare o forzare brutalmente le credenziali FTP (S) se sei su un piano di hosting condiviso. Quindi avrebbero accesso ai file effettivi sul server.

Quindi, assicurati di usare password sicure e, se è il tuo server, magari disabilita l'accesso basato su password per SSH , installa fail2ban , ecc. Dovresti anche assicurarti che gli script PHP siano di proprietà di un utente che non può ottenere diritti amministrativi (es. impossibile sudosenza password) e che diversi siti diversi ospitati su un server hanno i loro file di script di proprietà di utenti diversi, quindi nel caso in cui uno venga compromesso, gli altri sono ancora in qualche modo sicuri.

Ci sono alcune cose da considerare quando si configurano utenti e proprietà sui server web. Se non conosci i server di amministrazione e ne hai uno in pubblico, con script PHP, preparati a essere molto vulnerabile. Conserva i backup ed esegui gli aggiornamenti di sicurezza, sia per gli script PHP di sistemi operativi che di terze parti.

Ora, la cosa più importante è assicurarsi che il tuo server web sia configurato per gestire i file PHP con un interprete PHP e non servirli invece come file di testo normale . Ma se hai installato il web server e PHP secondo la documentazione ufficiale e i tuoi file PHP sono resi bene, allora non dovresti preoccuparti di questa parte.

Si noti che non importa se PHP è miscelato o meno con HTML. Il server produrrà semplicemente tutto ciò che genera il file PHP e l'HTML viene trasmesso così com'è.

slhck
fonte
Grazie per questa ampia risposta. Tuttavia, dato che attualmente sono su un piano di web hosting condiviso a 1 e 1, presumo che la parte del server dovrebbe essere molto sicura? D'altra parte, se decido di ottenere una macchina virtuale a 1 & 1 con Linux, potresti suggerire una distro Linux che è pronta all'uso già configurata con barriere MOLTO SICURE, quindi devo solo compilare il mio credenziali e può dormire bene perché nessuno può hackerarlo?
user1580348
1
@ user1580348 Se non vuoi perdere tempo nell'amministrazione, non pensare nemmeno di ottenere un VPS. Perché quando ne hai uno, devi rimanere informato sulle vulnerabilità e su come ti influenzano.
Daniel B,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.