Evitar ejecución de archivos PHP en carpetas con .htaccess

Ya anteriormente me he topado que una puerta de ingreso a nuestro sitio web es usando las carpetas con permiso 777 que en su mayoría son las de cache o donde se guardar las imágenes, generalmente son errores de los script que suben las imágenes a esas carpetas y pasan un archivo que se puede ejecutar del tipo PHP o similares.

Es así como muchas veces logran subir un archivo PHP y hacerse del archivo config donde está la contraseña de la base de datos o un script que puede navegar entre nuestros archivos.

Si no sabemos que script está permitiendo subir archivos ejecutables o de que forma logran subirlo a una carpeta con permisos 777 lo que podemos hacer es evitar su ejecución, en otras palabras, «podrán subirlo pero no ejecutarlo» .

Eso se logra usando un simple archivo .htacccess dentro de esa carpeta

RemoveHandler .phtml .php3 .php .pl .py .jsp .asp .htm .shtml .sh .cgi .dat
RemoveType .phtml .php3 .php .pl .py .jsp .asp .htm .shtml .sh .cgi .dat

Usando esas directivas cuando vean el archivo php lo verán en texto plano

Otra forma de hacerlo pero da un error por tanto no podrá visualizar el contenido del archivo es:

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi .dat
RewriteRule \.(gif|jpg|js|css|swf|png)$ - [L]

Adicionalmente agrego un archivo index.html sin ningún contenido para que no puedan visualizar el contenido del mismo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *