افزایش امنیت PHP در CPanel
حملات درج فایل محلی
حملات حمل و نقل محلی رخ می دهد زمانی که یک مهاجم مامور اسناد محله به اسکریپت های PHP
با در نظر گرفتن هدف نهایی مشاهده اطلاعات ظریف تقریبا در مورد چارچوب شما.
به عنوان مثال،
مهاجم ممکن است یک ضعف سند محاکمه در یک اسکریپت PHP را برای دیدن رکورد / و غیره / passwd استفاده کند.
این اجازه می دهد تا متجاوز به اطلاعات اساسی در مورد پرونده های وب سرور شما دسترسی پیدا کند.
برای محدود کردن تاثیر آسیب پذیری سند مجوز در اسکریپت های PHP،
روشن کردن open_basedir در WHM در PHP open_basedir تغییر رابط
(Home >> Security Center >> PHP open_basedir Tweak).
این جزء محدود کردن ورودی متجاوز به یک شاخص انفرادی را با استفاده از محله می سازد
و باعث می شود تا اعمال زور در محدوده مجازات های اطراف بیشتر مشکل باشد.
حملات درج فایل از راه دور
حمله های حمل و نقل فایل از راه دور اتفاق می افتد زمانی که یک مهاجم سوابق را از یک ناحیه دور به سرور شما می کشد.
هنگامی که از راه دور استفاده می کنید، متجاوز می تواند یک اسکریپت PHP را ایجاد کرده و آن را بر روی سرور میزبانی کند.
پس از آن، بهره گیری یک راهبرد استنتاج از راه دور است که از آسیب پذیری های ادغام در سرور شما بهره می برد.
با طراحی پیچیده پی اچ پی، مهاجمان می توانند اطلاعات مخرب را از سرور های خود اجرا کنند،
حتی بدون خواندن یا نوشتن موافقت در سرور شما.
برای جلوگیری از حملات درون فایل از راه دور، allow_url_fopen را تنظیم کنید
و allow_url_include را به Off در قسمت حالت پیشرفته رابط پیکربندی PHP WHM (Home >> Service Configuration >> PHP Configuration Editor) تنظیم کنید.
در چارچوب هایی که EasyApache 4 را اجرا می کنند،
این دستورات را در ناحیه Basic Mode از رابط مدیر چندگانه
INI Editorial Editor WHM (Home >> Software >> MultiPHP INI Editor) تنظیم کنید.
محافظت از جلسات
چند مهاجم تلاش دارند جلسات را ربودن کنند.
این اتفاق می افتد زمانی که یک مهاجم یک جلسه برنامه وب را برای مشتری می گیرد
و فعالیت هایی را به عنوان آن مشتری انجام می دهد.
پی اچ پی با استفاده از شناسه های طولانی و بلافاصله ایجاد شده برای URL های خود.
در حالی که این باعث می شود تا URL های جلسه بسیار دشوار شود،
سیستم فایل این کیفیت را ذخیره می کند.
متجاوزان می توانند جاوا اسکریپت را به صفحات وارد کنند
تا رفتارهایی را که حاوی این شناسه های جلسه هستند را داشته باشد،
که اجازه می دهد آنها جلسات را فرمانده کنند.
برای محافظت از این شناسه های جلسه از دزدی های جلسه،
می توانید سفارش session.cookie_httponly را در قسمت پیشرفته ویرایشگر پی اچ پی
پی اچ پی WHM (Home >> Service Configuration >> PHP Configuration Editor) تنظیم کنید.
در چارچوب هایی که EasyApache 4 را اجرا می کنند،
این دستور را در قسمت ویرایشگر ویرایشگر MultiPHP INI ویرایشگر WHM (Home >> Software >> MultiPHP INI Editor) تنظیم می کند.
این دستور تایید می کند که جاوا اسکریپت نمیتواند به یک جلسه پردازش پی اچ پی دسترسی پیدا کند.
در صورتی که طراحان شما نیاز به جاوا اسکریپت برای ورود به جلسه داشته باشند، این گزینه را قدرت ندهید.
شما همچنین می توانید اجازه دهید پی اچ پی برای بررسی ارزش های ارجاع HTTP.
این اطمینان را فراهم می کند که اطلاعات جلسه دقیق در میان جلسه مشتری انجام می شود،
بنابراین مشتریان نمی توانند به صورت تصادفی داده های جلسه دست نخورده را هنگامی که URL ها را به اشتراک می گذارند توزیع کنند.
جلوگیری از افشای اطلاعات
پیام های خطایی که داده های چارچوب ضروری را به نمایش می گذارند می توانند به مهاجمین کمک کنند که یک روش متضاد را ترتیب دهند.
این داده ها شامل ساختار فهرست شما، نام های پایگاه داده و نامهای کاربری است.
در صورتی که پی اچ پی اشتباهات را به UI برنامه وب نمایش ندهد،
می توانید توانایی های متجاوزان را برای جمع آوری اطلاعاتی که می توانید از آن برای کاهش چارچوب خود استفاده کنید، سرکوب کنید.
برای محدود کردن نمایش پیام های اشتباه، مجوز display_errors را به حالت خاموش
در ناحیه Advanced Mode از ویرایشگر پیکربندی پی اچ پی WHM (Home >> Service Configuration >> PHP Configuration Editor) تنظیم کنید.
در چارچوب هایی که EasyApache 4 را اجرا می کنند،
این مجوز را در منطقه Basic Mode از رابط مدیر چندگانه INI Editorial Editor WHM (Home >> Software >> MultiPHP INI Editor) تنظیم کنید.
هنگامی که شما مجوز display_errors را ناتوان می کنید،
مهندسان شما می توانند در هر صورت داده های حمایتی از کدهای تحقیقی در ورودی های پی اچ پی را بازیابی کنند.
دستور disable_functions
برخی از قابلیت های PHP برای ایجاد وضعیت خوب نیستند.
در این شانس که طراحان پی اچ پی شما این ظرفیت ها را نداشته باشند،
ما به شدت پیشنهاد می کنیم که آنها را ناتوان کنید تا مهاجم نتواند از آنها استفاده کند.
در بیشتر موارد، هنگامی که این ظرفیت ها را نابود می کنید،
می توانید متجاوزین را متوقف کنید که چگونگی پیکربندی یک اسکریپت بدخیم PHP را به چارچوب خود متصل می کند.
برای ناتوانی ظرفیت ها، آنها را در یک جعبه محتوا نظم disable_functions در بخش پیشرفته وارد کنید.
آنها را در یک محدوده مختلط محدود قرار داده شده در بخش
محتوای پیشرفته Disable_functions در رابط ویرایشگر پی اچ پی PHP (Home >> Service Configuration >> PHP Configuration Editor) وارد کنید.
در چارچوب هایی که EasyApache 4 را اجرا می کنند،
این ظرفیت ها را در قسمت Editor Mode از رابط MultiFP INI ویرایشگر WHM (Home >> Software >> MultiPHP INI Editor) وارد کنید.
غلطنامه ثبت نام را غیرفعال کنید
متغیرهای جهانی اجازه می دهد یک اسکریپت PHP برای دریافت و دسته بندی متغیرها بدون منبع از پیش تعریف شده.
این اجازه می دهد مهاجمین برای تغییر متغیرهای تنظیم.
این اجازه می دهد تا هکرها دسترسی به مناطق چارچوب خود را که به طور معمول محدود است.
برای بستن این گسست، register_globals را به بخش خاموش در بخش ویرایشگر پیشرفته ویرایشگر پیکربندی
پی اچ پی (Home >> Service Configuration >> PHP Configuration Editor) تنظیم کنید.
در چارچوب هایی که EasyApache 4 را اجرا می کنند،
این دستور به خاموش در منطقه Basic Mode از رابط MultiFP INI Editor WHM (Home >> Software >> MultiPHP INI Editor) تنظیم می شود.
محدود کردن آپلود فایل
مهاجمان به طور مرتب پروژه های خرابکارانه را به چارچوب های بی نظیر انتقال می دهند، با توجه به هدف نهایی تجارت آنها.
در این شانس که شما تمام انتقال سند را محدود می کنید،
این می تواند تضمین کند که مهاجمان نمی توانند با استفاده از روش پی اچ پی خود سوء استفاده از اسکریپت های ویژه PHP خود را نادیده بگیرند.
برای محدود کردن انتقال رکوردها، مجوز file_uploads را در قسمت حالت پیشرفته ویرایشگر پیکربندی پی اچ پی WHM (Home >> Service Configuration >> PHP Configuration Editor) تنظیم کنید.
در چارچوب هایی که EasyApache 4 را اجرا می کنند،
این ماموریت را در منطقه Basic Mode از رابط MultiFP INI ویرایشگر WHM (صفحه اصلی >> نرم افزار >> MultiPHP INI Editor) تنظیم کنید.
چند مهندس مایل هستند ظرفیت انتقال اسناد را به سرور خود از طریق PHP داشته باشند.
در این شانس که شما مجاز به انتقال اسناد باشید، مجوز آپلود_تیمپی را به حالت On قرار دهید.
به یاد داشته باشید هدف نهایی تغییر شاخص پیش فرض غیر مستقیم برای انتقال رکورد.
تعداد زیادی از سران همچنین دستور upload_max_filesize را برای محدود کردن بزرگترین اندازه سند که مشتریان می توانند انتقال آن را تعیین کنند.
این پارامتر امنیت تنظیمات پی اچ پی شما را افزایش نمی دهد.
مدیران این پارامتر را با یک هدف خاص برای مقابله با پشته سرور از اسکریپتهای PHP تنظیم می کنند.
