1 隐藏apache 或者 nginx的版本号
2 隐藏php的版本号
3 php 程序做好基本的防注入 xss之类的攻击
4 禁用PHP一些危险的函数 比如 phpinfo、system之类的
5 给apache 或者 nginx 安装web安全相关的防火墙 比如 ModSecurity 之类的模块,具体的可以谷歌查询相关资料
6 把web项目的读写权限控制严格,不需要写入的目录禁止写入,不需要修改的文件禁止修改,有个时候就是利用开源系
统的漏洞往已经有的文件或者文件夹写入了后门程序。把上传的目录禁止直行PHP ,这样的话万一上传程序有漏洞
也不能直接访问写入的php程序。不需要访问的目录禁止访问,比如我们根目录的library或者config之类的目录如
果不需要直接执行里面的PHP文件最好设置成禁止访问该目录里面的资源,有个时候直接访问该目录下面的xxx.php
可能会泄露一些信息。
7 数据库链接的用户名不要用 root用户 另外新建一个用户连接所需要的数据库。
8 关闭错误信息
9 可以开启PHP相关的错误日志查看相关错误加以修正
10 可以开启 apache或者nginx的访问日志 有空的时候可以看看访问日志 是否有攻击之类的 ,然后做好相应的防护方案