Paramètres de sécurité du serveur pour Apache et PHP

Paramètres de sécurité du serveur pour Apache et PHP
Table des matières
Certaines tâches à effectuer pour donner une plus grande sécurité et éviter les problèmes sont :
Désactivez l'affichage des erreurs et des avertissements dans php, cela peut être utilisé dans la phase de programmation pour aider le développeur à voir les erreurs, puis le désactiver lorsque le Web entre en phase de production.
Désactiver toutes les notifications d'erreur
En utilisant les variables suivantes dans le php.ini :
rapport_erreur (0);
// Signaler uniquement les erreurs d'exécution
error_reporting (E_ERROR | E_WARNING | E_PARSE);
// Signaler toutes les erreurs sauf E_NOTICE
error_reporting (E_ALL ​​​​E_NOTICE);
// Signaler toutes les erreurs PHP (error_reporting (E_ALL);
Ils peuvent également être activés et désactivés en mettant le code au début de la page à exécuter.

Il est toujours important de corriger et de ne pas masquer les erreurs, de nombreux développeurs utilisent error_reporting (0) pour masquer les erreurs, mais celles-ci sont toujours là et pourraient être exploitées, nous devons toujours éviter que tout code que nous développons contienne des erreurs, que ce soit php, javascript ou la langue que nous utilisons.
Il est important de contrôler les variables et les données qu'elles saisissent.
Changer l'extension de fichier
Vous pouvez modifier l'extension lors de l'appel et de l'exécution des scripts en php, dans des fichiers avec une extension html.
Dans le fichier de configuration Apache (httpd.conf)
On cherche la ligne :
Application AddType / x-httpd-php

Et on ajoute .htm et .html à la fin, ce serait comme suit :
Application AddType / x-httpd-php .htm .html

Nous pouvons également créer une extension personnalisée pour masquer le type de fichier au visiteur
Application AddType / x-httpd-php .bo .sol .tf
Ceci est très utile pour des raisons de sécurité. On cache que l'application est programmée car dans le navigateur vous verrez simplement .html ou l'extension personnalisée dans les scripts qui sont en fait php. De nombreux sites Web utilisent cette méthode.
Vérifiez que register_globals est inactif
Désactivez register_globals et n'autorisez pas la création de variables à la volée, entre autres avec :
register_globals = Désactivé

À partir de php.ini, cela oblige à déclarer toutes les variables ou cela donnera une erreur.
Désactiver les URL distantes pour les fonctions qui gèrent les fichiers
Cela sert à ce qu'un fichier sur notre serveur ne puisse pas être exécuté ou accessible depuis un autre, dans le php.ini, nous désactivons allow_url_fopen
allow_url_fopen = Désactivé

Restreindre dans quel répertoire PHP peut lire ou exécuter n'importe quel script ou processus
open_basedir = /var/www/htdocs/midomino.com

Chaque domaine peut modifier son propre php.ini si l'administrateur du serveur le permet, bien que cela soit rare.
Désactiver Apache HTTP TRACE
HTTP TRACE est utilisé pour retourner le résultat de la requête qui a été faite au serveur.
Il peut être utilisé pour des attaques Cross Site Scripting ou XSS, il est donc préférable de le désactiver pour des raisons de sécurité.
Nous modifions dans /etc/httpd/conf/httpd.conf
TraceActiver désactivé
Apache est l'un des serveurs Web les plus utilisés et php est le langage le plus utilisé pour le développement Web. Avec ces configurations et ces outils, nous pouvons aider à renforcer la sécurité de notre site Web contre d'éventuelles attaques.

Vous contribuerez au développement du site, partager la page avec vos amis

wave wave wave wave wave

Articles Populaires

wave
1
post-title
Meilleurs compléments gratuits pour augmenter la productivité Office
2
post-title
HTML5 - Transformation de texte
3
post-title
▷ Comment télécharger à nouveau une histoire en vedette sur Instagram
4
post-title
▷ Ajouter un disque à la machine virtuelle Azure
5
post-title
Comment désactiver la chronologie ou la chronologie dans Windows 10

Recommandé

wave
- Sponsored Ad -

Choix De L'Éditeur

wave
- Sponsored Ad -