Seguridad en PHP: primeros pasos
El primer paso por la seguridad en PHP es simplemente haber pensado un momento en que se debe gestionar la seguridad. El segundo pasa por una simple auditoría de nuestras vulnerabilidades. Pero ¿como podemos saber si nuestra plataforma PHP es vulnerable a ataques?.
Bueno, pues es algo tan simple como usar el proyecto phpsecinfo (licencia BSD), una pequeña auditoría de seguridad en formato phpinfo. Para poder usarlo no tenemos más que descargarlo de la web del proyecto, descomprimirlo y consultar en el navegador la dirección donde fue extraido.
También podemos hacer esto desde un script propio:
-
<?php
-
require_once("PhpSecInfo/PhpSecInfo.php");
-
phpsecinfo();
-
?>
Sea cual fuere la forma de mostrar la página de resultado, se debe tener mucho cuidado de no dejarla accesible por nadie (inluidos los robots de los buscadores) ya que sería servir nuestras vulnerabilidades en bandeja. Si nos atacan, por lo menos que se lo curren.
Y obtendremos un resultado mas o menos como esto:
Esta herramienta es muy útil para saber si nuestra plataforma PHP tiene un mínimo de seguridad, pero no dice nada de como son de seguras nuestras aplicaciones. Si la plataforma es el eslabón débil, la cadena se rompe por todos los sitios a la vez, pero por el hecho de cumplir las buenas prácticas que phpsecinfo nos da, no podemos pensar que automáticamente nuestro (o de otro) código fuente es más robusto.
Para solucionar los fallos que nos reporta, nada mejor que echar un ojo a su guía de seguridad