it-swarm-es.tech

Seguridad: mejores prácticas para discapacitados_funciones y clases

Debido a que Joomla usa tantos componentes de terceros y demás, ¿cuáles son algunas funciones y clases seguras para agregar al php.ini para disabled_classes y disabled_functions?

La razón por la que pido esto es para bloquear un servidor más, agregar más a esas propiedades php.ini es lo mejor.

exec() es obvio, sin embargo, algunos como base64_decode() no lo son ya que se usan con frecuencia, ¿hay otras funciones que sean seguras y valiosas? (sin contar los valores predeterminados que usa php).

NOTA: Esto no significa "curar todo" para la seguridad, solo una parte de la seguridad.

3
Jordan Ramstad

Estos son algunos de los más comunes que la gente recomienda deshabilitar:

show_source, system, Shell_exec, passthru, exec, popen, proc_open,

Especialmente en entornos Joomla sin ningún problema. Realmente es más una cuestión de caso de uso cuando se trata de algunas funciones, pero lo ideal es que no desee dejar ninguna de las funciones especialmente inestables si no las está utilizando. También recomiendo deshabilitar los métodos HTTP que no se usan de manera arbitraria o sistemática como DELETE o TRACE.

1
Milton Bryant

Si confía en la configuración de php.ini para deshabilitar las funciones principales para darle más "seguridad", entonces ya ha fallado.

La seguridad del servidor es algo más que deshabilitar funciones. De hecho, un servidor muy seguro no necesita ninguna PHP Funciones deshabilitadas en la forma en que se refiere.

Además, si implementa archivos php.ini (.user.ini) por usuario para deshabilitar estas funciones, ¡todo lo que un hacker tiene que hacer es eliminarlas para obtener acceso a funciones que consideraba seguras y bloqueadas!

A pesar de que lista de verificación "oficial" dice que deshabilite las funciones, ¡no crea todo lo que lee sobre este tema!

1
Phil Taylor

Una buena práctica es tener un usuario del sistema exclusivo para ejecutar su joomla. Por lo tanto, puede restringir este usuario para acceder solo a la carpeta joomla.

Creo que debe evitar deshabilitar estas funciones porque alguna extensión puede necesitarlas para el bien y no para el mal.

0
csbenjamin