Como proteger o seu phpinfo e outros arquivos confidenciais com htaccess
março 18th, 2010
Sempre que trabalhamos em arquivos e configurações do servidor web, mais especÃfico com PHP, acabamos criando arquivos “phpinfo.php” para verificar as configurações. Hoje lendo meus feeds no google reader, vi o post do perishablepress.com, que falava sobre este mesmo assunto que você está lendo, e resolvi então criar este artigo baseado no post dele, ensinando como bloquear o acesso a arquivos phpinfo e também a outros, e liberando acesso somente para determinados IPs.
Existem várias necessidades diariamente quando estamos a frente de cuidar de uma hospedagem ou servidor web, de bloquear acesso a arquivos que não desejamos que outras pessoas além de nós vejam.
No caso no post do perishablepress, ele enfatizou o problema de segurança por ter um phpinfo.php aberto para acesso irestrito, como:
- Exibir informações sobre o servidor web;
- Endereço IP do host;
- Versão do sistema operacional que está rodando no servidor;
- O diretório raiz do servidor;
- Configurações de instalação do servidor PHP;
- Nome do usuário que instalou o PHP;
Isso é muitas outras informações ficam facilmente visÃveis, principalmente para quem está “procurando” o arquivo phpinfo, procurando vulnerabilidades para explorar em seu servidor.
Para lhe proteger, de possÃveis esquecimentos, de não remover os arquivos phpinfo.php que você acabou criando durante testes no servidor, uma dica excelente para se proteger.
Bloquear acesso ao arquivo phpinfo.php, e manter privado somente para um IP privado apenas (o seu … ).
# proteger arquivo phpinfo
<Files php-info.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789
</Files>Usando esse código no seu .htacess, editando o IP que está ali pelo seu, ou qualquer outro que você deseja dar acesso, basta adicionar mais linhas como esta:
Allow from 123.456.789Desta mesma forma, como o arquivo phpinfo.php, você pode colocar isso para qualquer outro arquivo que você desejar.
