Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 a 10 de 11
  1. #1
    {topmember}
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro
    Posts
    596

    Segurança no php.ini ?

    Caros algumas configs no php.ini vem habilitadas por padrão, gostaria de saber dos nobres colegas quais devem ser removidas/desabilitadas (PHP 5.3.x).

    Por exemplo:

    ; Magic quotes for incoming GET/POST/Cookie data.
    ;magic_quotes_gpc = Off

    A linha vem comentada, deixando o magic_quotes_gpc em on e segundo a prórpia PHP é um recurso inseguro. Deve ser colocado como

    magic_quotes_gpc = Off

    Quais outras configs são inseguras e continuam ativas por padrão ?

  2. #2
    Web Hosting Guru
    Data de Ingresso
    May 2011
    Posts
    331
    Me arrisco a dizer que os problemas de invasões que você está tendo tem mais haver com senhas fracas do que falhas de segurança.

  3. #3
    {topmember}
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro
    Posts
    596
    Citação Postado originalmente por maksol Ver Post
    Me arrisco a dizer que os problemas de invasões que você está tendo tem mais haver com senhas fracas do que falhas de segurança.
    O problema maior não é isso (antes fosse) eu configuro o cpanel para só aceitar senhas fortes (acima de 70) - o problema são os usuários mesmo, que instalam wordpress e joomla de qualquer forma deixando meses e anos sem atualizarem e entopem de plug-ins e add-ons que nem eu sei de onde tiraram.

    Então quando sofrem um "defacemet" a culpa é de quem ? Nossa..

  4. #4
    Web Hosting Guru
    Data de Ingresso
    May 2011
    Posts
    331
    É verdade, e sempre vão dizer que a segurança do "servidor é fraca"

  5. #5
    Membro
    Data de Ingresso
    Dec 2010
    Localização
    Rio de Janeiro
    Posts
    18
    Essas atitudes podem ajudar:

    1) Desativar a função "phpinfo".
    2) Não mostrar a "versão do apache", acerta no apache.
    3) php 5.3


    @see pt-br:Blindando o WordPress

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Citação Postado originalmente por bscastro Ver Post
    3) php 5.3
    Mas ai arruma problemas com clientes que usam wp e joomla, não?
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  7. #7
    Membro
    Data de Ingresso
    Dec 2010
    Localização
    Rio de Janeiro
    Posts
    18
    Por que daria? A última versão do php é a "5.3.19". Veja nas últimas versões WP e Joomla certamente eles recomendam a ultima versão do php.

    Se algum cliente reclamar é porque o aplicativo não está atualizado. (Isso não é problema seu, foi você que instalou o Wordpress?)

    E isso que eu penso.

  8. #8
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Citação Postado originalmente por bscastro Ver Post
    Por que daria? A última versão do php é a "5.3.19". Veja nas últimas versões WP e Joomla certamente eles recomendam a ultima versão do php.

    Se algum cliente reclamar é porque o aplicativo não está atualizado. (Isso não é problema seu, foi você que instalou o Wordpress?)

    E isso que eu penso.
    Em um mundo perfeito seria exatamente isso hehehe

    Mas o numero de clientes que não fez o site, não sabe mexer com o site, não sabe atualizar o site, não quer ter custo para atualizar o site, não quer saber de ficar mexendo com o site...entre outros, ainda é muito expressivo.

    Pelo menos entre meus clientes.

    E no meu caso, até hoje, tive apenas 4 solicitações de atualização para php 5.3 para instalação do moodle.
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  9. #9
    {topmember}
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro
    Posts
    596
    Aqui usamos o PHP 5.3.18 - indicado pela CPANEL, não permito php.ini customizado mais (o usuário pode colocar o php.ini que for que o sistema não o carrega), uso su_php com mod_secure no talo, meu disable_functions beira a imbecilidade de tão extenso - tenho uma pequena FAQ com alguns plug-ins e addons importantes sobre segurança e dicas (Revenda de Hospedagem e Hospedagem de Sites - Servidores Dedicados - Certificados SSL: MeganickIDC :: MegaHost :: DigitalSSL - Base de Conhecimento) que nenhum usuário lê , kernel atualizado com klspice, etc.

    E sofro com o Word Press e Jommla da mesma forma.

  10. #10
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    É, a última que peguei foi com uma alteração global da tabela wp_users (WP) e jos_users (Joomla), mudando todos os users para 'admin' e uma senha padrão.

    Complicado é encontrar em qual site deixou a brecha, em máquinas que beiram 1500 domínios, sendo 90% joomla.
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •