Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
[Guia] para añadir seguridad a tu web server Mu
#1
Comenzemos

php.ini

Cuando está bien configurado puede ahorrarnos hasta el 90% de escribir scripts PHP para seguridad.

Abrir php.ini con el Bloc de notas / Wordpad / Dreamweaver o Ultraedit (este último recomendado).
Y configurar las siguientes cosas de esta manera:

1
allow_url_include = Off

Puede incluir un archivo desde su propio sitio, pero no de otro servidor (bloqueo http / / y https / /). He aquí un ejemplo de cómo convertir una dirección URL para incluir a aquellos que no utilizan la dirección URL esto evitará errores y someterse a

include('http://yoursite.com/page.php');

Esto incluirá

include($_SERVER['DOCUMENT_ROOT'] . '/page.php');

Así que si alguien ha decidido insertar cualquiera de sus scripts de inyect, simplemente ya no podrá porque la conexión del Sitio fallará.

2
display_errors = Off
display_startup_errors = Off
log_errors = On
error_reporting = E_ALL
error_log = /home/yourUserID/public_html/errors.txt

Nota: con esto no se van a mostrar errores de php. Y se guardarán en un archivo de texto. Por lo tanto, no aparecen errores en su página, puede ocultar fácilmente desde donde puede ser fácilmente atacado, al mismo tiempo se guardará y podrá ver su archivo de registro. Para esto cree una carpeta con el archivo errors.txt hacer un archivo .Htaccess

order allow,deny
deny from all
3
expose_php = Off

Esto no es tan importante, pero no hace daño si lo pones. Esta máscara será la versión de PHP en funcionamiento.

4
magic_quotes_gpc = On

Este archivo PHP se lo recomiendo a ser excluidos con el fin de hacer frente a la protección de "magic_quotes", pero como usted no sabe bien para que vulnerabilidad de seguridad podría ser explotado o cómo usarlos. Lo mejor es que se incluya.

magic_quotes_sybase = Off

Esta opción es mejor magic_quotes, retírelo.

5
register_globals = Off

Esta es una de las cosas más importantes que usted probablemente ha visto, un guión como este:

http://site.com/index.php?something=somevalue

Cuando register_globals = On, puede pasar algún valor en el script con su valor. Así que los atacantes pueden pedir lo que quieran a través de "algún valor". Es muy importante:

register_globals = Off

6
safe_mode = Off

Esta opción no se recomienda en php.ini

7
disable_functions = dl,show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, curl_exec, curl_multi_exec, parse_ini_file, proc_close, highlight_file, pcntl_exec, apache_note, apache_setenv, closelog, debugger_off, debugger_on, define_syslog_variables, escapeshellarg, escapeshellcmd, ini_restore, openlog, pclose, pcntl_exec, proc_get_status, proc_nice, proc_terminate, syslog, system,url_exec

Esto realmente no es obligatorio, pero estás 100% seguro de la eliminación de funciones peligrosas para usted. Mejor lo hacemos!

8
La opción más segura contra ataques de tipo XSS y SQL Injection es esta característica que he visto en una secuencia en PHP:

function protect($val) {
$val = addslashes($val);
$val = htmlspecialchars($val, ENT_NOQUOTES);
return $val;
}
foreach($_GET as $key => $val) { $_GET[$key] = protect($val); }
foreach($_POST as $key => $val) { $_POST[$key] = protect($val); }
foreach($_COOKIE as $key => $val) { $_COOKIE[$key] = protect($val); }
foreach($_SESSION as $key => $val) { $_SESSION[$key] = protect($val); }

Este código se copia y pega tal cual en la parte superior de su archivo index.php
He aquí cómo usarlo:

mssql_query("SELECT * FROM MEMB_INFO WHERE memb___id ='".protect($_POST['UserName'])."'");

9
.Htaccess

Esto sirve para aquellos que no quieren que vean su servidor web, es decir, si es un equipo con Windows o Linux. Todo ello se plasma a traves de páginas de error (incluso estas pueden ser personalizadas). Archivo .htaccess añadiendo en el interior de error: 400, 403, 404, 500 recuerde de ponerlo en el directorio raíz. Para los que no me ha entendido He aquí un ejemplo:
Utilización .Htaccess te daba un error 404 (página que falta) entonces debes poner el archivo 404.php en el directorio raíz y escribir en él lo que quieras que se vea.

Cita
Siempre que hagas cualquier script de base para seguridad, recuerde de utilizar la función de proteger esa variable. Esto es absolutamente todo lo necesario para proteger adecuadamente su sitio MuOnline. Usted no necesita otros scripts confusos, o extraños. Y recuerde, no es bueno meter 100 scripts o funciones de protección, porque uno mal configurado puede inutilizar al resto. Cuanto menos tenga y bien configurados, pues mucho mejor. Espero que esta guía te haya sido de mucha utilidad y de una vez por todas, no se líe con secuencias de comandos que usted no sabe como operan, solo ponga los absolutamente necesarios.

Si vas a copiar y pegar este Guía en otra web o foro, te pido solamente que cites al Autor.
Cualquier duda o comentario, haganla, pero no por MP ok!

Se Que esto no va Aki pero Tarde Mucho en azerlo y Decidi postearlo con Ustedes
#2
muy bueno para algunos que tienen servidores locales, pero igual no vendria nada mal un codigo de injected.
Saludos
#3
muchas gracias por la guia, la necesitaba Gran sonrisa
#4
Gracias por el aporte, pero yo con cloudflare tengo proteccion anti ddos, inyecciones xss, bots y de todo bueno gracias
Saludos
WWW


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  [Duda] Ayuda para añadir nueva recaptcha de google fercol 9 580 13-12-2015, 02:31 PM
Último mensaje: fercol
  [Aporte] Rails o Django, una guía para decidirse. edisson 4 979 22-10-2015, 12:29 PM
Último mensaje: Minikole
  [Duda] COPIA DE SEGURIDAD PÁGINA WEB pedrovillarraga 8 409 02-08-2015, 04:12 PM
Último mensaje: YamaT
Bombilla copia de seguridad paginas web pedrovillarraga 1 217 02-05-2015, 09:42 AM
Último mensaje: Vicen
  Comprobar seguridad de la web con php TOMMYNRH 8 1,117 29-04-2015, 04:38 PM
Último mensaje: bseca
  [SQL] Encriptar contraseña con SQL Server warez 0 204 27-01-2015, 05:18 AM
Último mensaje: warez
  Añadir valor css sobre css externo celticslment 2 376 22-11-2014, 07:41 PM
Último mensaje: Joseahfer
  Guia para desactivar java ante un nuevo agujero 0 day con exploit romeho 7 819 07-09-2014, 03:32 AM
Último mensaje: Luis Felipe Fuentes
  seguridad en .httacess truzst23 16 1,611 27-08-2014, 06:32 PM
Último mensaje: TheBomberbe
Arcoiris Enseñe a los niños los fundamentos de la seguridad en línea R0bert0 2 419 10-08-2014, 05:09 AM
Último mensaje: habacuc78



Usuarios navegando en este tema: 1 invitado(s)