Evitar ejecución de código php en directorio

Email this to someoneShare on FacebookShare on Google+Share on LinkedInTweet about this on Twitter

En muchas ocasiones cuando no prestamos atención a las configuraciones de nuestro servidor, puede ocurrir que por desconocimiento o después de instalar algún CMS o sistemas de contenidos gestionado (muy común en las tiendas online ecommerce) dejemos de lado el tema de la seguridad.

Con el siguiente tutorial, evitaremos que posibles atacantes puedan subir un php en nuestro servidor que nos envíe  inyección de código, una webshell o cualquier malware, evitando que se pueda ejecutar.

Tenemos varias formas de evitar esto, por medio del fichero .htaccess, vhost.conf… pero sin duda, la más sencilla es añadir un fichero .conf (puede tener cualquier nombre) dentro del directorio conf.d de nuestro servidor apache.

Ruta para S.O Debian:

/etc/apache2/conf.d

Ruta para S.O CentOs, RedHat, Fedora y similares:

/etc/httpd/conf.d

Contenido que deberá tener el fichero (por ejemplo para evitar la ejecución de código en la carpeta /imagenes:

< LocationMatch “/imagenes/.*.(php3?|phtml)$”>
Order Deny,Allow
Deny from All
< /LocationMatch>

Para terminar, también podemos añadir más seguridad a nuestro fichero:

< LocationMatch “backup.php”>
Order Deny,Allow
Deny from All
< /LocationMatch>

Sé la primera persona en comentar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

De conformidad con lo establecido en la LOPD, Adpv Advertising Provider S.L. garantiza la adopción de las medidas necesarias para asegurar el tratamiento confidencial de los datos de carácter personal. Así mismo le informamos de la inclusión de sus datos en un fichero con la finalidad de mantener su relación negocial o contractual con Adpv Advertising Provider S.L. y de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición en la siguiente dirección: Ercilla, 26, 1Dcha., 48011, Bilbao, Bizkaia. Privacidad.