Häufige Hackerangriffe beweisen, dass die Websicherheit für jeden, der im Internet Geschäfte macht, nach wie vor das wichtigste Thema ist. Server sind aufgrund der Informationen, die sie speichern, meistens das Ziel dieser Angriffe. Deshalb ist es notwendig, einen zuverlässigen Serverschutz zu gewährleisten.
PHP auf Apache absichern
Starten Sie das Protokoll "phpinfo()" und überprüfen Sie die Zeile mit dem Befehl "open_basedir". Mit diesem Befehl können Sie das Basisverzeichnis für alle Benutzer festlegen. Nach dem Festlegen dieses Werts können sie keine Dateien außerhalb dieses Stammordners oder seiner Unterverzeichnisse wie "C: / Windows" mehr öffnen.
Wenn Sie andere Strukturverzeichnisse haben, legen Sie diese mit dem Befehl "www_root" als Basisverzeichnis fest. Ein Benutzer kann jedoch auch die Dateien eines anderen Benutzers lesen und ändern. Dies muss verhindert werden.
Leider gibt es in der Datei php.ini keine Optionen, um zu verhindern, dass ein Benutzer auf die Daten eines anderen zugreift.
Aber es gibt einen interessanten Weg, wenn PHP auf Apache läuft. In phpinfo() finden Sie zwei Spalten: Primary Value und Local Value. Der erste ist der Wert in "php.ini". Der zweite ist ein Wert, der bestimmt wird, während der Server läuft.
Ist der Hauptwert numerisch klein, kann er im Skript mit dem Befehl "ini_set()" geändert werden. Dies gilt nicht für "open_basedir", da dieser Wert sicherheitskritisch ist und nur von einem Administrator geändert werden kann.
Bei Apache kann die Konfigurationsdatei "httpd.conf" im Handbuch unter dem lokalen Wert "open_basedir" angegeben werden.
Andere PHP-Einstellungen
Durch das Setzen von "disable_functions" in der Datei "php.ini" müssen Sie potenziell gefährliche Funktionen deaktivieren.
Denken Sie sorgfältig über jede Aktion nach, die Sie ergreifen. Das Deaktivieren der Funktion bedeutet, dass einige Skripte nicht mehr funktionieren.
Einige Funktionen sind wirklich gefährlich und werden normalerweise nicht für die Skripterstellung benötigt. Andere können für bestimmte Zwecke benötigt werden. Daher ist es nicht einfach, alle möglicherweise gefährlichen Funktionen zu deaktivieren, sondern auch Ihre Entscheidungen sorgfältig abzuwägen.
Glauben Sie nicht, dass die Funktion "safe_mode = On" allein ausreicht. Es kann einige nützliche Funktionen deaktivieren und das oben beschriebene Sicherheitsproblem möglicherweise nicht lösen. Der abgesicherte Modus ist in PHP 5.3.0 veraltet und wird in PHP 6.0.0 entfernt.
Schutzprobleme
Es gibt mehrere Fehler, die ein Webentwickler machen und eine Website unsicher machen kann.
Wenn Sie beispielsweise Ihr Blog erstellen und Benutzern erlauben, Bilder hochzuladen, kann dies eine ernsthafte Gefahr darstellen, wenn der Code von einem Anfänger geschrieben wird. Es gibt mehrere Fehler, die ein Programmierer auf der Anmeldeseite usw. machen kann. Einer der häufigsten ist das Fehlen eines Verbots, bösartige Algorithmen herunterzuladen.
Der wichtige Punkt ist, dass eine unsichere Site auf öffentlichem Hosting eine Bedrohung für den gesamten Server darstellt. Auch die Installation von Open Source-Projekten wie PHP-Nuke kann riskant sein. Mehrere Schwachstellen in ähnlichen Projekten wurden bereits entdeckt.
