Записки сисадмина

Делаем WordPress безопаснее

В данной статье будет небольшой ликбез, который поможет сделать ваш wordpress непробиваемым без какого либо ограничения функциональности. Нужно сказать что это не только на вордпресс распространяется – исходя из этой статьи можно так же настроить вменяемый уровень безопасности любого другого Open Source приложения.

В общем, safe_mode включать нельзя. Это урежет все до безобразия. Вместо этого мы:

Включим open_basedir
Подтюним некоторые настройки php
Выключим шелл вызовы
Выставим нужные права на директории
Для особых извращенцев, включим mod_security

Так же не стоит брезговать базовыми правилами безопасности WordPress.

Теги: apache,mod_security,php,security,wordpress

13.10.2008 Автор admin | Безопасность | no comments

Особенности применения PHP disable_functions

В PHP есть такая замечательная настройка как disable_functions, которая позволяет отключить использование определенных функций. Это очень удобно с точки зрения безопасности. Наиболее распространенный способ применения – запретить использовать шелл вызовы:

disable_functions=»popen,exec,system,passthru,proc_open,shell_exec«

Поскольку на шелл вызовы не распространяется open_basedir ограничение (например, можно спокойно посмотреть system(«ls /«); с включенным open_basedir), эта «дырка» сводит на нет все ограничения безопасности и позволяет работать remote shell’ам даже с включенным ограничением open_basedir.

Теги: apache,php,php.ini,security

13.10.2008 Автор admin | Безопасность | 11 comments

Битва PHP: Apache vs PHP-FPM

Я не раз сцеплялся в админских обсуждениях на тему нецелесообразности PHP-FastCGI. Споров много, реальных данных мало. Замечу сразу, да, я лицо заинтересованное. Но подтасовкой не занимался и в ходе теста, три раза готов был признать свою ошибку

Немного теории. Я вообще не знаю, почему все FastCGI реализации PHP носят префикс «Fast». Ведь Fast-CGI это целый интерфейс работы скрипта, под него нужно оптимизировать скрипты, чтобы получить его достоинства. Но мало того что этого никто не делает, для этого в PHP вообще не существует никаких интерфейсов. Ну на эту тему можно почитать статью: почему FastCGI не ускоряет PHP

Я решил сравнить апач с широкоизвестным fpm менеджером. В плане производительности.

Теги: apache,benchmark,cgi,fastcgi,nginx,php,php-fpm,test

11.07.2008 Автор admin | Очумелые ручки, Тестовая площадка | 10 comments