Cegah akses ke sumber halaman PHP saya?

0

Jika saya menerbitkan halaman PHP (mis. Mypage.php ) di ruang web yang saya host (URL halaman PHP diketahui secara publik, misalnya http://example.com/mypage.php ), dapatkah hacker mengakses dengan cara tertentu Sumber PHP dari halaman PHP ini? Jika ya, bagaimana saya bisa mencegah ini?

Sumber halaman dapat berupa:

  • Hanya kode PHP
  • Kode PHP dan HTML campuran
security php pengguna1580348
sumber

Jawaban:

0

dapatkah seorang hacker mengakses sumber PHP dari suatu cara halaman PHP ini?

Iya.

Jika ya, bagaimana saya bisa mencegah ini?

Nah, itu membutuhkan pengetahuan tentang bagaimana mereka dapat mengakses.

Seorang peretas bisa mendapatkan akses ke server Anda dengan SSH (dalam kasus server pribadi virtual), atau mereka dapat mencuri atau memaksa kredensial FTP (S) Anda jika Anda menggunakan paket hosting bersama. Kemudian mereka akan memiliki akses ke file aktual di server.

Jadi, pastikan untuk menggunakan kata sandi aman, dan jika itu adalah server Anda sendiri, mungkin nonaktifkan login berbasis kata sandi untuk SSH , instal fail2ban , dll. Anda juga harus memastikan bahwa skrip PHP dimiliki oleh pengguna yang tidak bisa mendapatkan hak administratif (yaitu tidak dapat sudotanpa kata sandi), dan beberapa situs berbeda yang dihosting di satu server memiliki file skripnya dimiliki oleh pengguna yang berbeda, jadi jika ada yang dikompromikan, yang lain masih agak aman.

Ada beberapa hal yang perlu dipertimbangkan ketika mengatur pengguna dan kepemilikan di server web. Jika Anda baru mengelola server, dan Anda memilikinya di publik, menjalankan skrip PHP, bersiaplah untuk menjadi sangat rentan. Simpan cadangan dan lakukan pembaruan keamanan Anda, untuk skrip PHP OS dan pihak ketiga.

Sekarang, hal yang paling penting adalah memastikan server web Anda dikonfigurasikan untuk menangani file PHP dengan penerjemah PHP, dan bukan melayani mereka sebagai file plaintext . Tetapi jika Anda menginstal server web dan PHP sesuai dengan dokumentasi resmi, dan file PHP Anda dirender dengan baik, maka Anda tidak perlu khawatir tentang bagian ini.

Perhatikan bahwa tidak masalah apakah PHP dicampur dengan HTML atau tidak. Server hanya akan menampilkan apa pun yang dihasilkan oleh file PHP, dan HTML diteruskan apa adanya.

slhck
sumber
Terima kasih atas jawaban yang luas ini. Namun, karena saat ini saya menggunakan paket web hosting bersama di 1 & 1, saya menganggap bagian server harus sangat aman? Di sisi lain, jika saya memutuskan untuk mendapatkan mesin virtual 1 & 1 dengan Linux, dapatkah Anda menyarankan distro Linux yang sudah out-of-the-box sudah diatur dengan hambatan SANGAT AMAN, jadi saya hanya perlu mengisi kredensial dan dapat tidur nyenyak karena tidak ada yang bisa meretasnya?
user1580348
1
@ user1580348 Jika Anda tidak ingin menghabiskan waktu untuk administrasi, jangan pernah berpikir untuk mendapatkan VPS. Karena ketika Anda memilikinya, Anda perlu tetap mendapat informasi tentang kerentanan dan bagaimana mereka memengaruhi Anda.
Daniel B