So sichern Sie PHP, das in Ihre Webseite integriert ist, mit Konfigurationseinstellungen

PHP ist eine großartige Skriptsprache mit vielen Funktionen. PHP wird auf Webseiten häufig in Verbindung mit HTML verwendet. Sobald ein Server eine Anfrage erhält, übergibt er diese an den PHP-Handler. Der PHP-Handler verarbeitet den HTML- und PHP-Code und gibt den neuen HTML-Code aus. Dadurch wird eine Webseite erstellt, die auf dem Server geändert wurde, bevor sie an den ursprünglichen Anforderer übertragen wurde.

Diese Fähigkeit macht PHP leistungsstark, macht es aber auch zu einem potenziellen Sicherheitsrisiko. Da diese Sprache Seiten zwischen der Anfrage eines lokalen Computers und der Rückgabe dieser Seite an das lokale Gerät durch den Server ändert, entsteht ein Punkt, an dem Hacker Daten ändern können.

In diesem Artikel werden wir einige PHP-Einstellungen besprechen und einige Möglichkeiten besprechen, wie Sie die Sicherheit von PHP und Ihrem Server erhöhen können. Durch Ändern der PHP.ini-Datei können Sie ändern, was PHP-Skripte tun dürfen.

PHP.ini-Konfigurationseinstellungen

  1. allow_url_fopen

Klartext
In die Zwischenablage kopieren
Code in neuem Fenster öffnen
EnlighterJS 3 Syntax-Highlighter
Allow_url_fopen = Aus
Allow_url_fopen = Aus
Allow_url_fopen = Aus

Diese Einstellung erlaubt oder verbietet PHP die Verwendung von URLs in Anweisungen wie include(). Dieses Verhalten bietet zwar Vorteile, macht Ihren Server jedoch anfällig für RFI-Angriffe (Remote File Inclusion). Bei einem RFI-Angriff fügt der Angreifer eine URL in eine HTTP-Abfrage ein, mit dem Ziel, Ihr Skript dazu zu bringen, sein Include im Vergleich zu Ihrem auszuführen.

Beachten Sie, dass die Einstellung „allow_url_fopen“ auf „off“ verhindert, dass Sie Inhalte von beiden Websites abrufen können. Wenn Sie diese Funktionalität für Ihre Website benötigen, müssen Sie nach anderen Methoden zur Verhinderung von RFI-Angriffen suchen, z. B. durch die Überprüfung der URLs in Ihrem Skript, bevor Sie diese ausführen.

  1. Fehlerprotokollierung einrichten

Klartext
In die Zwischenablage kopieren
Code in neuem Fenster öffnen
EnlighterJS 3 Syntax-Highlighter
DISPLAY_ERRORS =Aus
display_startup_errors = Aus
log_errors = Ein
error_reporting = E_ALL
Fastcgi. Protokollierung = 0
DISPLAY_ERRORS = Aus display_startup_errors = Aus log_errors = Ein error_reporting = E_ALL Fastcgi.logging = 0
DISPLAY_ERRORS =Aus
display_startup_errors = Aus
log_errors = Ein
error_reporting = E_ALL
Fastcgi.logging = 0

Diese Einstellungen verhindern, dass PHP Fehler auf den Webseiten anzeigt, auf denen Ihre Skripte ausgeführt werden. Die Anzeige der Fehlermeldungen von PHP kann Angreifern wertvolle Hinweise geben, wie sie in die Sicherheit Ihres Servers eindringen können. Wenn Sie Fehlermeldungen überprüfen müssen, können Sie im PHP-Fehlerprotokoll nachsehen. Um den Speicherort des PHP-Fehlerprotokolls zu finden, überprüfen Sie die Variable error_log in der INI-Datei.

Klartext
In die Zwischenablage kopieren
Code in neuem Fenster öffnen
EnlighterJS 3 Syntax-Highlighter
error_log = /home/yourUserID/public_html/phperr. txt
error_log = /home/yourUserID/public_html/phperr.txt
error_log = /home/yourUserID/public_html/phperr.txt

Ihr System wird diese Datei auf unbestimmte Zeit anhängen. Stellen Sie sicher, dass die Datei nicht öffentlich zugänglich ist und dass Sie sie regelmäßig überprüfen und löschen.

  1. Deaktivieren Sie register_globals

Klartext
In die Zwischenablage kopieren
Code in neuem Fenster öffnen
EnlighterJS 3 Syntax-Highlighter
register_globals = Aus
register_globals = Aus
register_globals = Aus

Wenn die INI-Einstellung „register_globals“ aktiviert ist, werden Variablen, die von URLs an Ihre Skripte übergeben werden, automatisch an Ihr Skript übergeben. Sie sollten diese Einstellung deaktivieren, um es Angreifern zu erschweren, Code in Ihre Website einzuschleusen.

  1. Begrenzen Sie die Speichernutzung und die Skriptausführungszeiten

Klartext
In die Zwischenablage kopieren
Code in neuem Fenster öffnen
EnlighterJS 3 Syntax-Highlighter
memory_limit=16M
upload_max_filesize=2M
post_max_size=8M
max_input_nesting_levels= 64
max_execution_time= 30
max_input_time= 60
memory_limit=16M
upload_max_filesize=2M
post_max_size=8M
max_input_nesting_levels=64
max_execution_time=30
max_input_time=60
memory_limit=16M 
upload_max_filesize=2M
post_max_size=8M 
max_input_nesting_levels=64
max_execution_time=30 
max_input_time=60

Diese INI-Einstellungen begrenzen sowohl die Speichernutzung als auch die Ausführungszeiten Ihres Skripts. Auf diese Weise kann ein Angreifer nicht versuchen, Zeitüberschreitungen oder Speichermangel auszunutzen, um Ihr System auszunutzen.

  1. Legen Sie open_basedir fest

Plain text
Copy to clipboard
Open code in new window
EnlighterJS 3 Syntax Highlighter
open_basedir= « c:inetpub »
open_basedir= »c:inetpub »
open_basedir="c:inetpub"

Legen Sie dies in den PHP-INI-Dateigrenzen fest, bei denen PHP Dateien lesen und schreiben kann. Dies verhindert, dass Angreifer PHP verwenden, um beispielsweise Konfigurationsdateien zu überschreiben.

  1. Legen Sie „exposure_php“ fest

Plain text
Copy to clipboard
Open code in new window
EnlighterJS 3 Syntax Highlighter
Exposé_php = Aus
expose_php = Off
expose_php = Off

Wenn Sie dies festlegen, wird verborgen, dass auf dem Server PHP ausgeführt wird.

Wenn Sie wissen, wie Sie diese Grundeinstellungen in der PHP-INI-Datei festlegen, können Sie die auf Ihrem Webserver ausgeführten PHP-Skripte schützen. Mit nur wenigen Minuten können Sie einige Schritte unternehmen, um die Wahrscheinlichkeit einer Übernahme Ihrer Website zu verringern. Wenn Sie einen neuen Webserver einrichten, achten Sie darauf, Maßnahmen zur Sicherung zu ergreifen, damit keine wertvollen Daten verloren gehen.

Schauen Sie sich diese Top 3 der Windows-Hosting-Dienste an:

Ultahost
4.9

725 Benutzerbewertungen

2,90 $ /Monat
Startpreis

Besuchen Sie Ultahost

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    4.3
  • Unterstützung
    4.8
  • Merkmale
    4.5
  • Zuverlässigkeit
    4,0
  • Preisgestaltung
    4.8
Kamatera
4.8

141 Benutzerbewertungen

4,00 $ /Monat
Startpreis

Besuchen Sie Kamatera

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    3.5
  • Unterstützung
    3,0
  • Merkmale
    3.9
  • Zuverlässigkeit
    4,0
  • Preisgestaltung
    4.3
InterServer
4.4

419 Benutzerbewertungen

2,50 $ /Monat
Startpreis

Besuchen Sie InterServer

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    4.3
  • Unterstützung
    4.5
  • Merkmale
    4.8
  • Zuverlässigkeit
    4.9
  • Preisgestaltung
    4.3
  • Klicken Sie auf diesen Link und alle Ihre Fragen zum besten Hosting werden beendet.