Ocultando PHP
En general, la seguridad por oscuridad es una de las formas más
débiles de seguridad. Pero, en algunos casos, cada
pequeño elemento extra de seguridad es deseable.
Unas cuantas técnicas simples pueden ayudarle a esconder PHP,
posiblemente retrasando a un atacante que esté intentando
descubrir debilidades en su sistema. Al establecer expose_php = off en
su archivo php.ini, usted reduce la cantidad de información
disponible a posibles atacantes.
Otra táctica consiste en configurar los servidores web como
apache para que procesen diferentes tipos de archivos como scripts de
PHP, ya sea con una directiva .htaccess, o en el archivo de
configuración de apache mismo. En ese caso puede usar
extensiones de archivo que produzcan confusión:
Ejemplo 15-18. Ocultando PHP como otro lenguaje # Hacer que el codigo PHP parezca como otro tipo de codigo
AddType application/x-httpd-php .asp .py .pl |
|
U ocultarlo completamente:
Ejemplo 15-19. Uso de tipos desconocidos como extensiones para
PHP # Hacer que el codigo PHP parezca como de tipos desconocidos
AddType application/x-httpd-php .bop .foo .133t |
|
O escóndalo como código html, lo que tiene un
pequeño impacto de rendimiento ya que todos los documentos html
serán procesados por el motor de PHP:
Ejemplo 15-20. Uso de tipos html para extensiones PHP # Hacer que todo el codigo PHP luzca como html
AddType application/x-httpd-php .htm .html |
|
Para que esto funcione de manera efectiva, usted debe renombrar sus
archivos PHP con las extensiones anteriores. Aunque es una forma de
seguridad por oscuridad, representa una medida preventiva con pocas
incomodidades.