保护我的PHP文件,以防apache的php模块不起作用

时间:2016-04-09 21:10:56

标签: php apache debian

前几天,我的网站上发生了一些事情并且让我感到害怕,并告诉我我的Apache虚拟主机设置存在安全漏洞。

我使用来自DotDeb的php7.0。我是sudo apt-get upgrade我的Debian Jessie,由于某种原因,apache的php模块被禁用了。我没有注意到,但后果是我网站上的所有php文件都可以下载!这会产生安全风险,例如,我的网站访问者可以看到我的数据库密码。

确保不会发生此类事件的正确配置是什么?例如,如果php不存在,如何使apache失败?或任何其他解决方案,在这样的事件中不会将我的php文件提供给我的网站访问者!

以下是我当前的虚拟主机配置。

<VirtualHost *:443>
    DocumentRoot /web/root/directory
    ServerName www.example.com

    <IfModule mod_rewrite.c>
      RewriteEngine On
    </IfModule>
    php_admin_flag engine on
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    SSLCompression off
    SSLCipherSuite AES256+EECDH:AES256+EDH

   SSLCertificateFile /path/to/cert.crt
   SSLCertificateKeyFile /path/to/key.key
   SSLCertificateChainFile /path/to/chain.chn
</VirtualHost>

1 个答案:

答案 0 :(得分:1)

也许你想要这样的东西?

<Directory />
    <IfModule !mod_php7.c>
        Deny from all
    </IfModule>
</Directory>
相关问题
最新问题