Ocultar PHP
En general, la seguridad por ocultación es una de las formas más débiles de seguridad.
Aunque en algunos casos, es aconsejable cada pequeño elemento extra de seguridad.
Unas cuantas técnicas simples pueden ayudar a ocultar PHP, posiblemente retrasando
a un atacante que esté tratando de descubrir debilidades en el
sistema. Al establecer expose_php a off en el
fichero php.ini, se reduce la cantidad de información disponible.
Otra táctica es configurar servidores web como Apache para
interpretar diferentes tipos de ficheros por medio de PHP, ya sea con una directiva
de .htaccess o en el propio fichero de configuración de Apache. Así se pueden
utilizar extensiones de ficheros engañosas:
Ejemplo #1 Ocultando PHP como si fuera otro lenguaje
# Hacer que el código de PHP parezca otro tipo de código
AddType application/x-httpd-php .asp .py .pl
U ocultarlo completamente:
Ejemplo #2 Utilizar tipos desconocidos para extensiones de PHP
# Hacer que el código de PHP parezca de tipo desconocido
AddType application/x-httpd-php .bop .foo .133t
U ocultarlo como código
HTML, lo cual tiene un pequeño impacto de rendimiento debido
a que todos los ficheros
HTML serán procesados por el motor de
PHP:
Ejemplo #3 Utilizar tipos HTML para extensiones de PHP
# Hacer que el código de PHP parezca HTML
AddType application/x-httpd-php .htm .html
Para que esto funcione eficazmente, se debe cambiar el nombre de los ficheros
PHP con
las extensiones de arriba. Si bien es una forma de seguridad por
ocultamiento, es una medida preventiva menor con pocos inconvenientes.
