Bạn nên luôn luôn quan tâm đến sự an toàn của cơ sở hạ tầng trang web của bạn. Đó là điều cần thiết. Bảo trì trang web của bạn phải bao gồm các cách để bảo mật cơ sở hạ tầng trang web và các ứng dụng PHP của bạn.


Bảo mật cơ sở hạ tầng trang web của bạn là điều cần thiết và kế hoạch bảo trì của bạn nên bao gồm các cách để bảo mật cả cơ sở hạ tầng bên dưới và các ứng dụng bạn đang chạy.
Bắt đầu với Dịch vụ thông tin Internet 7 (IIS), Microsoft đã bao gồm một số tính năng bảo mật như hạn chế IP động, nhận dạng nhóm ứng dụng và hỗ trợ SSL. Trong bài viết này, chúng tôi sẽ thảo luận về một số cách để bảo mật các ứng dụng PHP của bạn trên Nền tảng Web của Microsoft.

Làm thế nào bạn có thể bảo mật truy cập tệp

Chúng tôi sẽ sử dụng Danh sách điều khiển truy cập (ACL) để bảo mật cấu trúc thư mục và tệp trên IIS. Để làm điều này, hãy làm theo các bước dưới đây:

Sắp xếp các thư mục ứng dụng web của bạn

Sắp xếp các thư mục ứng dụng web của bạn và tạo các thư mục mới cho từng loại tệp. Khi điều này được thực hiện, đặt ACL trên mỗi thư mục và di chuyển các tệp vào thư mục. Để các tệp kế thừa ACL từ thư mục.

Việc tổ chức và quản lý một ứng dụng Web với các ACL duy nhất cho mọi tệp trong hệ thống sẽ khó khăn hơn. Để cung cấp cho bạn nhiều quyền kiểm soát hơn, các thư mục riêng biệt khác nhau có thể yêu cầu quyền đọc ghi từ người dùng chưa đăng ký.

Sửa đổi ACL trên các thư mục FTP và SMTP

Cấu hình được đặt trước của ACL trên thư mục FTP và SMTP C: \ inetpub \ ftproot và C: \ inetpub \ mailroot cho phép mọi người kiểm soát hoàn toàn. Điều này không an toàn, vì vậy bạn nên dành thời gian để cập nhật các mục trên ACL để làm cho máy chủ của bạn an toàn hơn.
Để giới hạn không gian sử dụng trên ổ đĩa IIS, hãy đặt các thư mục FTP và SMTP trên một ổ đĩa khác với máy chủ IIS nếu bạn muốn cung cấp hỗ trợ cho Mọi người (Viết). Bạn cũng có thể sử dụng hạn ngạch đĩa để giảm thiểu số lượng dữ liệu bạn có thể ghi vào thư mục FTP và SMTP.

Chỉ định ACL trên tệp nhật ký được tạo trên IIS

Bạn có thể làm điều này với (% systemroot% \ system32 \ logfiles) Cung cấp cho quản trị viên và Hệ thống (Kiểm soát hoàn toàn) và cho mọi người, cung cấp (Điều khiển đọc-ghi).

Vô hiệu hóa hoặc loại bỏ tất cả các mẫu ứng dụng web được cài đặt trên IIS

Nếu có các ứng dụng web mẫu được cài đặt, vô hiệu hóa chúng hoặc loại bỏ chúng. Nội dung mẫu được sử dụng bởi các nhà phát triển được tải theo mặc định và nên cài đặt trên các máy chủ sản xuất. Các ứng dụng mẫu có một số lượng lớn các rủi ro bảo mật đã biết, ví dụ: IISSamples và IISHelp truy cập các thư mục ảo.

Sử dụng cấu hình PHP trên mỗi trang web

Sử dụng trình xử lý FastCGI, bạn có thể sử dụng tệp PHP.ini khác nhau cho mỗi ánh xạ ứng dụng. Bạn có thể sửa đổi thiết lập PHP của mình cho từng người dùng hoặc ứng dụng của bạn.

Bằng cách định cấu hình tệp PHP.ini trên cơ sở, bạn sẽ kiểm soát hệ thống tốt hơn.

Cô lập tài khoản người dùng IIS và nhóm ứng dụng

Cách ly người dùng và ứng dụng PHP với việc sử dụng các tài khoản người dùng và nhóm ứng dụng khác nhau. Điều này giữ cho người dùng và ứng dụng PHP không xâm nhập lẫn nhau. Tách các tài khoản người dùng và nhóm ứng dụng cũng có thể hỗ trợ cách ly các sự cố PHP với người dùng hoặc ứng dụng chính xác là nguyên nhân gây ra sự cố.

Quản lý quyền NTFS

Đảm bảo quyền được đặt cho người dùng của bạn. Sử dụng quyền từ chối NTFS và chỉ cung cấp cho người dùng quyền truy cập vào những gì họ cần. Nếu bạn đã tách tài khoản người dùng và nhóm ứng dụng, bạn có thể khiến một người dùng không thể có được quyền của người dùng hoặc ứng dụng khác.

Lưu ý rằng phổ biến hơn để loại trừ người dùng khỏi ACL so với cài đặt Từ chối trên các tệp và thư mục cụ thể. Lập kế hoạch cấu trúc cấp phép của bạn trước thời hạn và sao lưu mọi thứ trước khi thực hiện thay đổi.

Sử dụng Viết lại URL

Sử dụng viết lại URL để bảo mật máy chủ của bạn. Thay vì chỉ lưu trữ ID phiên trên URL, thay vào đó hãy lưu trữ nó trong cookie. Sau đó tạo mã thông báo mới trên URL. Nếu yêu cầu tiếp theo từ máy chủ không bao gồm mã thông báo mới, máy chủ có thể bỏ qua yêu cầu đó.

Thay đổi cài đặt cấu hình của bạn

Bạn có thể thay đổi cài đặt PHP để tăng cường bảo mật cài đặt PHP. Điều này hỗ trợ để giữ cho trang web an toàn và an toàn khỏi các cuộc tấn công từ các yếu tố vô đạo đức. Tệp Php.ini quy định việc sắp xếp các cài đặt được PHP sử dụng trên Trang web của bạn. Tệp Php.ini thiết lập giới hạn cấp phép được cấp cho các tập lệnh PHP và cũng quy định các hành động mà tập lệnh bị ngăn không cho thực hiện.

Giới hạn quyền đối với tiện ích mở rộng PHP

Chỉ cấp quyền cho các tiện ích mở rộng PHP sẽ được các ứng dụng của bạn sử dụng. Một số lệnh PHP, như register_globals và allow_url_fopen, có thể gây ra rủi ro bảo mật. Do đó, bạn phải vô hiệu hóa chúng nếu bạn có thể. Ngoài ra, bạn cần tắt lệnh expose_php để ngăn PHP tiết lộ rằng nó được thiết lập trên máy chủ của bạn.

Chỉ kích hoạt các chức năng và lớp học được sử dụng bởi ứng dụng của bạn

Sửa đổi cài đặt PHP của bạn để chỉ kích hoạt các chức năng và lớp được ứng dụng của bạn sử dụng. Sử dụng các lệnh PHP vô hiệu hóa và vô hiệu hóa để có được danh sách các hàm và các lớp được phân tách bằng dấu phẩy mà bạn dự định vô hiệu hóa.

Sau đó, đặt một ranh giới trên lệnh: max_execut_time, max_input_time, memory_limit, post_max_size và upload_max_filesize để chỉ những gì bạn yêu cầu và những gì máy chủ của bạn có thể quản lý.

Sử dụng bộ lọc yêu cầu

Đặt giới hạn cho loại yêu cầu HTTP. Hầu hết các ứng dụng PHP chỉ cần các khả năng GET, HEAD và POST. Bạn có thể sử dụng một công cụ bảo mật có tên URLScan để lọc các loại yêu cầu HTTP khác ngăn các yêu cầu có hại chạy. Công cụ này đi kèm với IIS và được cài đặt như một phần của bộ lọc ISAPI (Giao diện lập trình ứng dụng máy chủ Internet).

Nó cũng có thể quét các mẫu lưu lượng độc hại đã biết và ngăn chặn lưu lượng được xử lý bởi máy chủ. Điều này làm cho việc lọc yêu cầu với URLScan là một cách tuyệt vời để cải thiện bảo mật hệ thống của bạn.

Kiểm tra 3 dịch vụ lưu trữ web tốt nhất này

FastComet

Giá khởi điểm:
$ 2,95


độ tin cậy
9,7


Giá cả
9,5


Thân thiện với người dùng
9,7


Ủng hộ
9,7


Đặc trưng
9,6

Đọc đánh giá

Ghé thăm FastComet

Lưu trữ A2

Giá khởi điểm:
$ 3,92


độ tin cậy
9,3


Giá cả
9.0


Thân thiện với người dùng
9,3


Ủng hộ
9,3


Đặc trưng
9,3

Đọc đánh giá

Ghé thăm Hosting A2

ChemiCloud

Giá khởi điểm:
$ 2,76


độ tin cậy
10


Giá cả
9,9


Thân thiện với người dùng
9,9


Ủng hộ
10


Đặc trưng
9,9

Đọc đánh giá

Truy cập ChemiCloud

Bài viết hướng dẫn liên quan

  • Cách bảo mật cơ sở hạ tầng và ứng dụng PHP của bạn trên nền tảng web của Microsoft
    Trung gian
  • Cách sử dụng FastCGI để lưu trữ các ứng dụng PHP trên IIS 7
    Trung gian
  • Cách cấu hình Mô-đun Fastcgi và PHP để lưu trữ các ứng dụng PHP trên IIS 7 trở lên
    Trung gian
  • Cách thiết lập và sử dụng môi trường Fastcgi trong (IIS) 7, IIS 7
    Trung gian
  • Cách cài đặt và cấu hình MySQL cho các ứng dụng PHP trên Windows IIS 7
    Trung gian
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me