Веб-сайт моего клиента недавно был поврежден, и они пытаются снизить этот риск. У них есть выделенный сервер, на котором запущены apache и mod_php. Веб-сайт состоит из трех отдельных приложений php, установленных в разных папках (сценарий портала клиентов, wordpress и сценарий, управляемый настраиваемой базой данных). Их аудит безопасности рекомендовал изолировать каждый сценарий, чтобы в случае взлома одного из них, два других были защищены от искажения и т. Д. Они также рекомендовали использовать fast-cgi вместо mod_php. Также был упомянут Suexec, хотя непонятно, почему это было рекомендовано.
Может ли кто-нибудь подтвердить, имеет ли это смысл и действительно ли это возможно / осуществимо. Если да, то как лучше всего реализовать предлагаемое решение безопасности?
Если да, то как лучше всего реализовать предлагаемое решение безопасности?
Лучше всего использовать виртуальную машину (KVM, OpenVZ, XEN, Jail) для каждого сайта или использовать chroot (mod_chroot, php-fpm).
Использование suPHP или suEXEC (+ fcgi / cgi) - хорошее решение для защиты вашего сервера (разделите приложения).
Но для этого вам нужно иметь разные виртуальные хосты для каждого из этих приложений, скажем, например: app1.domain.com, app2.domain.com, app3.domain.com. Если структура вашего сайта подобна приведенной выше, не возникнет проблем с настройкой 3 виртуальных хостов с использованием 3 разных пользователей / групп для обслуживания php (с помощью упомянутых методов - suexec, suphp).