Como proteger o seu phpinfo e outros arquivos confidenciais com htaccess

março 18th, 2010

Sempre que trabalhamos em arquivos e configurações do servidor web, mais específico com PHP, acabamos criando arquivos “phpinfo.php” para verificar as configurações. Hoje lendo meus feeds no google reader, vi o post do perishablepress.com, que falava sobre este mesmo assunto que você está lendo, e resolvi então criar este artigo baseado no post dele, ensinando como bloquear o acesso a arquivos phpinfo e também a outros, e liberando acesso somente para determinados IPs.

Existem várias necessidades diariamente quando estamos a frente de cuidar de uma hospedagem ou servidor web, de bloquear acesso a arquivos que não desejamos que outras pessoas além de nós vejam.

No caso no post do perishablepress, ele enfatizou o problema de segurança por ter um phpinfo.php aberto para acesso irestrito, como:

  • Exibir informações sobre o servidor web;
  • Endereço IP do host;
  • Versão do sistema operacional que está rodando no servidor;
  • O diretório raiz do servidor;
  • Configurações de instalação do servidor PHP;
  • Nome do usuário que instalou o PHP;

Isso é muitas outras informações ficam facilmente visíveis, principalmente para quem está “procurando” o arquivo phpinfo, procurando vulnerabilidades para explorar em seu servidor.

Para lhe proteger, de possíveis esquecimentos, de não remover os arquivos phpinfo.php que você acabou criando durante testes no servidor, uma dica excelente para se proteger.

Bloquear acesso ao arquivo phpinfo.php, e manter privado somente para um IP privado apenas (o seu … ).

# proteger arquivo phpinfo
<Files php-info.php>
	Order Deny,Allow
	Deny from all
	Allow from 123.456.789
</Files>

Usando esse código no seu .htacess, editando o IP que está ali pelo seu, ou qualquer outro que você deseja dar acesso, basta adicionar mais linhas como esta:

Allow from 123.456.789

Desta mesma forma, como o arquivo phpinfo.php, você pode colocar isso para qualquer outro arquivo que você desejar.

Leave a Reply

Get Adobe Flash playerPlugin by wpburn.com wordpress themes