Pular para o conteúdo

Instalações PHP não seguras

Algo pouco observado pelos desenvolvedores web, mas que deveria ser muito bem avaliado antes de contratar um serviço de hospedagem de sites ou sistema web feitos em PHP, é a versão do PHP que está instalado nestes servidores. Este tipo de avaliação conta, e muito, na hora de se avaliar o quanto o seu site ou sistema é seguro.
Augusto de Paula Pereira Augusto-Pereira

Por Augusto de Paula Pereira em 01/06/2015

Hits: 7.673 Categoria: PHP Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Parte 2: O que pode ser feito sobre as instalações PHP não seguras?

Abaixo, listo 3 ações básicas que as empresas teriam para lidar com as instalações PHP não seguras:
  • Seguir orientações de segurança do manual PHP (Seção Segurança) e dicas de segurança em PHP da OWASP.
  • Garantir que os códigos PHP fossem submetidos a avaliadores de vulnerabilidade e permitir que apenas códigos seguros fossem expostos na internet.
  • E, minimamente, implementar algum firewall para aplicações web, garantindo o bloqueio de ataques a servidores com vulnerabilidades não corrigidas.

Conclusão

Antes que contratar um serviço de hospedagem para seu site ou aplicação PHP, leve em conta a avaliação das versões do PHP usadas pela empresa e fuja daquelas que não mantém um fluxo constante de atualização das correções que são liberadas.

Caso já esteja com um serviço contratado e percebeu que a versão instalada para sua aplicação PHP está desatualizada e contém falhas conhecidas de segurança, entre em contato com seu provedor e solicite o upgrade.

Insista neste ponto para que sua aplicação fique menos suscetível a ataques, trazendo assim menos dores de cabeça para você e mais estabilidade para seu negócio.

Referências


Páginas do artigo

   1. Introdução
   2. O que pode ser feito sobre as instalações PHP não seguras?

Outros artigos deste autor

Dados sensíveis em arquivos com extensão .inc

Leitura recomendada

XSS - Um exemplo de ataque

Segurança em PHP

Vulnerabilidade em formulário PHP

Pentesting on PHP apps: XSS

Autenticação de sites com PHP e MySQL

Comentários

#1 Comentário enviado por removido em 03/06/2015 - 21:07h
Legal saber disso. Rápido e direto. Legal Mesmo!

Mateus Schroeder da Silva.
#2 Comentário enviado por leorocco em 06/06/2015 - 10:32h

Bem bacana! Existe um lugar central onde, especificamente, podemos nos informar das falhas conhecidas com detalhes? Um abraço e obrigado!
#3 Comentário enviado por Augusto-Pereira em 07/06/2015 - 11:08h

[2] Comentário enviado por leorocco em 06/06/2015 - 10:32h


Bem bacana! Existe um lugar central onde, especificamente, podemos nos informar das falhas conhecidas com detalhes? Um abraço e obrigado!


Olá leorocco!
O melhor lugar para isso é o próprio site de manutenção do PHP: www.php.net. Neste link você tem acesso a um compilado de todas as versões: php.net/manual/pt_BR/doc.changelog.php . O que foi corrigido em uma versão específica, saiba que é falha em uma versão anterior.
#4 Comentário enviado por viniciusmunizm em 10/06/2015 - 11:32h
Sem querer fazer propaganda, mas já fazendo..
Na http://hoo.st, você pode escolher qual versão e módulos do PHP deseja utilizar em sua conta de hospedagem, entre as versões 4 até a 5.7

Contribuir com comentário

Entre na sua conta para comentar.