config.php dans root hacker safe avec permission définie à 644?

Question

Est-il prudent de placer config.php à la racine de votre site Web, même si les prémissions sont définies sur 644?

Answer 1

Tant que personne n’a un accès SSH ou FTP à votre serveur, et qu’il n’y a pas de trou de bogue / sécurité sur votre site Web qui permettrait à quiconque d’accéder aux sources des fichiers PHP, cela devrait être assez correct.

Notez que votre utilisateur Apache doit accéder à ce fichier (il peut donc être inclus à partir d'autres scripts PHP) ; Ainsi, où que vous soyez, si vous avez une faille de sécurité permettant aux utilisateurs de lire les fichiers PHP, cela ne changera rien.

Une idée pourrait être de placer ce fichier en dehors de la racine du document ou dans un répertoire protégé par un fichier .htaccess interdisant l'accès à quiconque - au moins de cette façon si votre serveur n'est pas bien configuré et affiche le code source de Dans les fichiers PHP, le contenu de ce fichier ne serait pas affiché (car il ne pouvait pas être directement accessible / servi via HTTP) .

Cela ne va pas aider dans le cas d'une faille de sécurité qui permet au fichier PHP d'afficher le contenu d'autres fichiers PHP (je l'ai déjà vu cela se produit) , mais ce serait toujours une première étape. .

Answer 2

votre fichier config.php devrait être lisible par votre navigateur Web, et toute manipulation avec des autorisations ne changera pas cela. de plus, le placer n'importe où ailleurs ne vous aidera pas beaucoup - car comme votre code php devrait pouvoir le lire, tout pirate informatique qui réussira à exécuter son code sur votre serveur sera capable de le lire.

donc, peu importe où vous le mettez, il est sur le point d'être attaqué par un pirate informatique qui a réussi à pirater votre serveur. le placer dans la racine Web n’est ni plus ni moins sûr que de le placer ailleurs.