PHP Security Checklist

La última lista de verificación de seguridad de PHP de las mejores prácticas de WordPress

El proceso de seguridad de su sitio web probablemente aborde cómo proteger su sitio de WordPress a nivel de servidor, así como cómo proteger su sitio a nivel de archivo. ¿Pero necesitas proteger tu lenguaje de programación? ¿Existe alguna práctica recomendada de seguridad de PHP que deba seguir? ¿Debería PHP ser seguro?

Si, si y si.

Si está ejecutando un sitio web de WordPress pero no se concentra en mantener seguro su código PHP, podría ser vulnerable a un incidente importante.

Oh No Omg GIF por Amigos

Hay un montón de beneficios al usar PHP para desarrollar su sitio web de WordPress:

  • Es bastante fácil de usar como principiante y lo suficientemente flexible para los profesionales de la programación.
  • Funciona muy bien en todas las plataformas (por ejemplo, Linux, Windows, etc.).
  • También es muy fácil de usar para WordPress.
  • Esto puede mejorar la velocidad del sitio.

Sin embargo, PHP no está exento de defectos. Las aplicaciones programadas por PHP pueden presentar riesgos para:

  • Inyecciones SQL
  • Secuencia de comandos entre sitios
  • Credenciales de inicio de sesión expuestas
  • Secuestro de sesión
  • Formas falsificadas
  • Y otros desagradables riesgos de seguridad

Relacionado: Cómo verificar la versión PHP de su sitio de WordPress (y actualizar la compatibilidad)

Obviamente, esto no pretende disuadirlo de usar PHP para programar su sitio web de WordPress. Es un lenguaje muy confiable y flexible, y cuando se protege adecuadamente, puede ser una herramienta increíblemente poderosa que también ayuda a agilizar su proceso.

La siguiente lista de verificación de seguridad de PHP le enseñará todas las mejores prácticas de seguridad de PHP que necesita saber para mantener su lenguaje de programación y sus aplicaciones PHP seguras.

La última lista de verificación de seguridad de PHP para WordPress

¿Quiere asegurarse de que su sitio web de WordPress se mantenga a salvo de los piratas informáticos? Luego, depende de usted asegurarse de que todas las herramientas que utilice para crearlo (incluido su lenguaje de programación) sigan las mejores prácticas de seguridad. Específicamente, cuando se trata de PHP, deberá prestar especial atención a lo siguiente:

  • Buenas prácticas de codificación PHP
  • Restricciones de acceso en el backend de su sitio
  • Gestión y seguimiento de cuentas de usuarios
  • Validación, limpieza y escape de datos
  • Monitoreo de envío y descarga de datos de usuario
  • Fiabilidad del alojamiento web

Si desea obtener más información sobre los puntos de control de seguridad de PHP anteriores y cómo usarlos en el desarrollo de WordPress, siga leyendo para la lista de verificación de seguridad de PHP definitiva

Mejores prácticas de PHP

  • Utilice PHP7: Utilice siempre la última versión de PHP. Lo mismo ocurre con las bibliotecas y aplicaciones de terceros que use con él.
  • Ocultar versión: La versión actual de PHP que está utilizando puede permitir a los piratas informáticos saber a qué tipo de vulnerabilidades dejó su sitio abierto, así que desactive esta configuración en su encabezado usando expose_php.
  • Cambiar el nombre de phpinfo: La información adicional sobre su instalación también debe estar oculta, así que asegúrese de cambiar el nombre del archivo phpinfo.php.
  • Cambiar el código de error: Cambie el mensaje de error predeterminado que se muestra a los usuarios cuando falla una conexión a su sitio. Esto evitará que vean información sobre su dirección IP o ruta de archivo. En su lugar, simplemente registre estos errores por su parte.
  • Limitar los comandos del sistema: El consenso general es que no debería utilizar funciones de shell en PHP. Sin embargo, si debe hacerlo, no incluya datos de usuario.

Protege el backend

  • Utilice SFTP: Al transferir archivos al backend, siempre use SFTP.
  • Restringir el acceso al directorio: Cambie el nombre del directorio predeterminado de su aplicación PHP.
  • Configurar la ruta de la sesión: Si está utilizando alojamiento compartido para su sitio, es posible que otros usuarios del servidor puedan ver los datos de su sesión. Puede detener esto almacenando las nuevas rutas de sesión en el directorio raíz.
  • Crea administradores separados: Si está ejecutando varios sitios web basados ​​en PHP en un solo servidor, asegúrese de utilizar un administrador independiente con información de inicio de sesión completamente diferente para cada uno. Esto evitará infecciones entre sitios.
  • Hacer que el directorio sea de solo lectura: Proteja su directorio de acceso web haciéndolo de solo lectura.
  • Almacene archivos confidenciales fuera del directorio: Los archivos de aplicaciones confidenciales (como los archivos de configuración) deben colocarse en un directorio al que no se pueda acceder en la web. Luego puede enrutarlos usando un script PHP.

Información de usuario segura

  • Cifre todas las contraseñas: Este es obvio, pero asegúrese de aplicarlo en todos los niveles, tanto para sus contraseñas como para todos los usuarios conectados.
  • Sesiones seguras: Evite el secuestro de sesiones creando un ID de sesión complejo. También puede agregar un token especial a cada URL.
  • Destruye viejas sesiones: Cuando una persona se ha desconectado o si sus derechos de acceso han cambiado, siempre borre las cookies de su sesión y fuerce un nuevo identificador de sesión.
  • Consultar nuevos usuarios: Verifique siempre la identidad de los nuevos usuarios y concédales los privilegios de acceso correspondientes. Esto es especialmente importante si están intentando acceder a una página restringida.
  • Usa un acelerador: Deben bloquearse demasiadas conexiones fallidas con una limitación de contraseña.

Validar la entrada y salida del usuario

  • Validar y desinfectar las entradas: Todos los datos, archivos, URL, contenido incrustado, CSS o HTML enviados a través de su sitio por un usuario (conocido o desconocido) deben examinarse y limpiarse. Esto significa que solo se deben permitir los datos que espera recibir (por ejemplo, nombre de usuario para nombre de usuario, dirección de correo electrónico para dirección de correo electrónico, etc.). Mantenga palabras “incorrectas” como “DESDE” o “DÓNDE” o signos de puntuación como una sola cita en su radar porque pueden ser una señal de que alguien está intentando introducir código malicioso en su sitio.
  • Salida de escape: Antes de publicar datos de usuario o archivos en su sitio, asegúrese de que también se hayan escapado para evitar que se pasen caracteres y códigos potencialmente peligrosos (como comillas simples o

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba