Uno de los grandes problemas de todo administrador de servidores es permitir el acceso a todo tipo de código PHP a los desarrolladores Web. Esto tiende a generar muchos problemas de seguridad y muchas situaciones problemáticas en cuando a configuraciones. Nunca se sabe cuando un atacante puede seleccionar un servidor y convertirlo en su próximo objetivo. Si los desarrolladores no hacen sus código seguro en el momento de ejecución puede ser un vía de ataque y PHP no es una excepción.
Vamos a ver un herramienta que se denomina PhpSecInfo, es una herramienta que elevará los niveles de seguridad mínima de nuestro servidor. PhpSecInfo es una buena herramienta PHP para defenderse de este tipo de ataques. Se trata de una aplicación que mostrará la información sobre la seguridad de un código PHP y te sugerirá ideas para mejorarlo. Sol analiza algunos parametros no todos por lo que no es suficiente para asegurar que todo este bien. PhpSecInfo no examina tel código PHP de una web para detectar vulnerabilidades, tampoco se encargar de analizar si se implementaron algoritmos de seguridad en la programación. Se encarga mas bien de analizar entorno PHP y como configurarlo en tu servidor.
Instalarlo es sencillo ya que es un script desarrollado en php. Se puede descargar PhpSecInfo desde la página web de PHP Security Consortium. Una vez descargado el archivo lo descomprimimos y subimos el directorio creado a un servidor.
Al final nos mostrará un resumen del análisis realizado mostrando el porcentaje de errores y posibles problemas a corregir. Otra buena opción para monitorIzar nuestro servidor en cuanto a hardware sería con otra herramienta denominada phpSysInfo. El script esta escrito en php así que sus resúmenes y estadísticas se pueden ver online.
Esta poderosa herramienta nos permite ver:
estadísticas en cuanto a la carga de nuestro servidor, usuarios conectados, tiempo uptime, versión del sistema, versión de kernel, dirección IP, procesadores, modelo, velocidad de CPU, memoria usada, swap, discos duros, particiones, espacio libre entre otras cosas para poder ver qué tal se encuentra nuestro servidor web desde donde querramos.
Comenzaremos descargando phpsysinfo desde http://sourceforge.n...cts/phpsysinfo/ es compatible con Windows, Mac y Linux, Principalmente con cualquier plataforma que ejecute php.
Descomprimimos el archivo descargado y lo copiamos a un directorio del servidor, luego debemos renombrar el ejemplo del archivo de configuración phpsysinfo.ini.new por phpsysinfo.ini y podemos editarlo siguiendo las indicaciones de los comentarios están en el mismo archivo. Alguna configuraciones requerían conocimientos avanzados de Linux.
Luego accedemos si es local vía http://127.0.0.1/phpsysinfo o www.midominio.com/phpsysinfo/
Así podremos ver un informe sobre el estado del servidor y el ordenador en general, también las particiones, el trafico de red y todo lo referente al sistema operativo.
Este tipo de programa debemos protegerlo desde htacces para que no pueda ser visto por cualquier personas ya sea poniendo clave al directorio o permitiendo que solo se pueda acceder desde determinada ip. Un ejemplo dentro del directorio de phpsysinfo añadimos un archivo .htaccess con los siguientes comandos:
Luego creamos un archivo .htpasswd cuyo contenido sera usuario:clave la clave en formato md5, por ejemplo usuario admin y clave tutoriales quedaría.
admin:$apr1$vPFilPPa$QEy8eehPt/9u6Et3Z0LgE1
Vamos a ver un herramienta que se denomina PhpSecInfo, es una herramienta que elevará los niveles de seguridad mínima de nuestro servidor. PhpSecInfo es una buena herramienta PHP para defenderse de este tipo de ataques. Se trata de una aplicación que mostrará la información sobre la seguridad de un código PHP y te sugerirá ideas para mejorarlo. Sol analiza algunos parametros no todos por lo que no es suficiente para asegurar que todo este bien. PhpSecInfo no examina tel código PHP de una web para detectar vulnerabilidades, tampoco se encargar de analizar si se implementaron algoritmos de seguridad en la programación. Se encarga mas bien de analizar entorno PHP y como configurarlo en tu servidor.
Instalarlo es sencillo ya que es un script desarrollado en php. Se puede descargar PhpSecInfo desde la página web de PHP Security Consortium. Una vez descargado el archivo lo descomprimimos y subimos el directorio creado a un servidor.
Al final nos mostrará un resumen del análisis realizado mostrando el porcentaje de errores y posibles problemas a corregir. Otra buena opción para monitorIzar nuestro servidor en cuanto a hardware sería con otra herramienta denominada phpSysInfo. El script esta escrito en php así que sus resúmenes y estadísticas se pueden ver online.
Esta poderosa herramienta nos permite ver:
estadísticas en cuanto a la carga de nuestro servidor, usuarios conectados, tiempo uptime, versión del sistema, versión de kernel, dirección IP, procesadores, modelo, velocidad de CPU, memoria usada, swap, discos duros, particiones, espacio libre entre otras cosas para poder ver qué tal se encuentra nuestro servidor web desde donde querramos.
Comenzaremos descargando phpsysinfo desde http://sourceforge.n...cts/phpsysinfo/ es compatible con Windows, Mac y Linux, Principalmente con cualquier plataforma que ejecute php.
Descomprimimos el archivo descargado y lo copiamos a un directorio del servidor, luego debemos renombrar el ejemplo del archivo de configuración phpsysinfo.ini.new por phpsysinfo.ini y podemos editarlo siguiendo las indicaciones de los comentarios están en el mismo archivo. Alguna configuraciones requerían conocimientos avanzados de Linux.
Luego accedemos si es local vía http://127.0.0.1/phpsysinfo o www.midominio.com/phpsysinfo/
Así podremos ver un informe sobre el estado del servidor y el ordenador en general, también las particiones, el trafico de red y todo lo referente al sistema operativo.
Este tipo de programa debemos protegerlo desde htacces para que no pueda ser visto por cualquier personas ya sea poniendo clave al directorio o permitiendo que solo se pueda acceder desde determinada ip. Un ejemplo dentro del directorio de phpsysinfo añadimos un archivo .htaccess con los siguientes comandos:
AuthType Basic AuthName "restricted area" AuthUserFile /var/www/.htpasswd require valid-user
Luego creamos un archivo .htpasswd cuyo contenido sera usuario:clave la clave en formato md5, por ejemplo usuario admin y clave tutoriales quedaría.
admin:$apr1$vPFilPPa$QEy8eehPt/9u6Et3Z0LgE1
