پیکربندی امن سرورهای PHP برای جلوگیری از حملات

پیکربندی امن سرورهای PHP برای جلوگیری از حملات

پیکربندی صحیح و ایمن سرورهای PHP یکی از مهم‌ترین اقدامات برای حفاظت از برنامه‌های تحت وب در برابر حملات است. با توجه به اینکه سرورهای PHP هدف اصلی حملات مختلفی مانند SQL Injection، Cross-Site Scripting (XSS) و Cross-Site Request Forgery (CSRF) هستند، لازم است از تکنیک‌ها و روش‌های مناسبی برای ایمن‌سازی آنها استفاده شود. در این مقاله به معرفی بهترین روش‌های پیکربندی امن سرورهای PHP جهت جلوگیری از حملات می‌پردازیم.

1. غیرفعال‌سازی نمایش خطاها (Error Reporting)

نمایش خطاها در PHP می‌تواند اطلاعات حساس مانند مسیر فایل‌ها یا جزئیات کد را فاش کند که این اطلاعات برای مهاجمان بسیار مفید است. در محیط تولید (Production)، باید نمایش خطاها غیرفعال شده و به‌جای آن خطاها به یک فایل log نوشته شوند. برای این منظور، در فایل php.ini باید تنظیمات زیر اعمال شود:

• display_errors = Off
• log_errors = On

این کار باعث می‌شود خطاها به‌صورت داخلی ذخیره شوند و اطلاعات حیاتی برای مهاجمان فاش نگردد.

2. محدود کردن مجوزها برای دایرکتوری‌ها و فایل‌ها

از دیگر نکات امنیتی مهم، محدود کردن مجوزهای فایل‌ها و دایرکتوری‌هاست. فایل‌های PHP باید به گونه‌ای پیکربندی شوند که فقط وب‌سرور (مانند Apache یا Nginx) دسترسی نوشتن و اجرا داشته باشد. به‌طور معمول، تنظیمات مجوزها باید به این شکل باشد:

• فایل‌ها: 640 یا 644
• دایرکتوری‌ها: 750 یا 755

همچنین، باید مطمئن شوید که فایل‌های حساس مانند php.ini و config.php در دسترس عموم نباشند.

3. استفاده از فایل‌های htaccess برای محافظت از دایرکتوری‌ها

در وب‌سرورهایی مانند Apache، می‌توانید از فایل‌های .htaccess برای محافظت از دایرکتوری‌ها و فایل‌های حساس استفاده کنید. به‌عنوان مثال، برای جلوگیری از دسترسی به فایل‌های پیکربندی، می‌توانید این دستور را در فایل .htaccess قرار دهید:

این کار مانع از دسترسی مستقیم به فایل‌های حیاتی می‌شود.

4. غیرفعال کردن توابع خطرناک در PHP

برخی از توابع PHP مانند eval()، exec()، system() و passthru() می‌توانند برای اجرای دستورات مخرب توسط مهاجمان استفاده شوند. برای افزایش امنیت سرور، بهتر است این توابع غیرفعال شوند. شما می‌توانید در فایل php.ini لیستی از توابع خطرناک را غیرفعال کنید:

با این کار، اجرای دستورات خطرناک در برنامه‌های PHP غیرممکن می‌شود.

5. غیرفعال کردن Allow_url_fopen و Allow_url_include

دو گزینه‌ی allow_url_fopen و allow_url_include در PHP به شما اجازه می‌دهند تا از URL‌ها به‌عنوان ورودی برای توابعی مانند include و require استفاده کنید. این گزینه‌ها می‌توانند برای اجرای حملات Remote File Inclusion (RFI) استفاده شوند. بنابراین، بهتر است این تنظیمات را در فایل php.ini به‌صورت زیر غیرفعال کنید:

این تنظیمات از بارگذاری فایل‌های خارجی و دسترسی به منابع ناامن جلوگیری می‌کند.

6. استفاده از سیاست‌های سخت‌گیرانه در Content Security Policy (CSP)

CSP یا سیاست امنیت محتوا یکی از بهترین روش‌ها برای جلوگیری از حملات XSS است. با پیکربندی CSP، شما می‌توانید منابع معتبری را برای بارگذاری اسکریپت‌ها، استایل‌ها و محتوای دیگر تعیین کنید. این تنظیمات در وب‌سرور انجام می‌شود و باید سرور PHP شما با این سیاست‌ها هماهنگ باشد.

7. ایمن‌سازی سشن‌ها (Sessions)

حفاظت از سشن‌ها در PHP اهمیت بالایی دارد، زیرا مهاجمان می‌توانند با دزدیدن شناسه‌های سشن (Session Hijacking) به حساب‌های کاربری دسترسی پیدا کنند. برای ایمن‌سازی سشن‌ها، باید اقدامات زیر را انجام دهید:

• استفاده از SSL برای رمزنگاری ترافیک سشن‌ها.
• تنظیم گزینه‌ی session.cookie_httponly = On در فایل php.ini تا کوکی‌ها فقط از طریق HTTP ارسال شوند و جاوااسکریپت نتواند به آن‌ها دسترسی پیدا کند.
• محدود کردن مدت زمان انقضای سشن‌ها با تنظیم session.gc_maxlifetime.

8. غیرفعال کردن اجرای کدهای PHP در دایرکتوری‌های خاص

در برنامه‌های PHP، ممکن است نیاز باشد برخی از دایرکتوری‌ها (مانند آپلود فایل‌ها) را از اجرای کدهای PHP محافظت کنید. برای این کار می‌توانید از فایل .htaccess یا پیکربندی وب‌سرور استفاده کنید تا اجرای اسکریپت‌های PHP در این دایرکتوری‌ها غیرفعال شود:

این کار از آپلود و اجرای فایل‌های مخرب در دایرکتوری‌های مشخص جلوگیری می‌کند.

9. استفاده از فایروال برای وب‌سرور (WAF)

یک فایروال وب (WAF) می‌تواند درخواست‌های مخرب را شناسایی و مسدود کند. با استفاده از WAF، می‌توانید درخواست‌های مشکوک مانند تزریق SQL یا XSS را قبل از رسیدن به سرور PHP فیلتر کنید. بسیاری از ارائه‌دهندگان وب‌سرور و سرویس‌های ابری WAFهای قابل تنظیم ارائه می‌دهند که می‌توانند در جلوگیری از حملات مفید باشند.

10. به‌روز نگه‌داشتن PHP و نرم‌افزارهای وابسته

استفاده از نسخه‌های به‌روز PHP و نرم‌افزارهای وابسته از اهمیت بالایی برخوردار است. توسعه‌دهندگان PHP به‌طور مداوم مشکلات امنیتی را برطرف می‌کنند و انتشار نسخه‌های جدید شامل وصله‌های امنیتی است. بنابراین، باید همواره سرور PHP خود را به‌روز نگه دارید و به‌محض انتشار به‌روزرسانی‌های امنیتی، آن‌ها را اعمال کنید.

نتیجه‌گیری

پیکربندی امن سرورهای PHP یکی از حیاتی‌ترین جنبه‌های حفاظت از برنامه‌های تحت وب است. از غیرفعال‌سازی نمایش خطاها و محدود کردن دسترسی فایل‌ها گرفته تا استفاده از WAF و به‌روزرسانی منظم، هر یک از این اقدامات می‌تواند به کاهش آسیب‌پذیری‌ها و جلوگیری از حملات کمک کند. با رعایت این نکات، می‌توانید سرورهای PHP خود را به‌صورت امن پیکربندی کرده و از امنیت بالای برنامه‌های خود اطمینان حاصل کنید.