La seguridad de PHP es prácticamente una misión imposible para los creadores de sitios web. Por más convencido que no esté de que se puede asegurar PHP contra todos los ataques, siempre habrá un hacker que resuelve la forma de atacar.
Eso no significa que debas rendirte, pues puedes hacer muchas cosas para proteger tu sitio, sólo debes tener claro que nada es infalible.
Recuerda que muchos hackeos de sitios web funcionan a través de sistemas automatizados, que están desarrollados para atravesar la web e intentar una serie de comandos para una exploit específico. Imagina que alguien hace una llave maestra que puede abrir cualquier candado fabricado entre el 2009 y el 2010. Si un delincuente tuviera esta llave maestra, tendría que probar reja con candado hasta dar con alguno de los que fue fabricado en el periodo mencionado.
Proteger tu casa de este delincuente es muy fácil porque simplemente tendrás que actualizar tu candado y asegurarte así de que esa llave no funcione más en tu candado nuevo.
La mayoría de los sitios web nunca serán atacados directamente por un hacker. Los ataques vienen mediante herramientas automatizadas que sólo están hurgando para encontrar sitios vulnerables. Esto significa que tu puedes protegerte de la mayoría de los ataques simplemente siguiendo algunas reglas muy simples:
-Si tienes tu propio servidor mantén tu PHP actualizado, esto es muy simple de hacer a través de cPanel.
-Si estás escribiendo tu propio script en PHP, investiga cómo asegurarlo. Puedes encontrar muchos recursos en línea que ter ayudarán.
-Si estás ejecutando scripts o aplicaciones como WordPress, mantenlas actualizadas, incluyendo cualquier plugin o plantilla que le adiciones.
-No instales ningún módulo PHP que no requieras realmente. Mientras menos PHP utilices, menos riesgo de que un exploit te encuentre.
-Utiliza permisos de archivos lo más estrictos que puedas sin interrumpir la ejecución normal de tu sitio.
-Si puedes hacerlo, instala mod_security.
-Bloquea tu instalación de PHP tanto como te sea posible.
-Se proactivo, intenta aprender sobre nuevos ataques y las recomendaciones de los expertos para evitarlo.
Esperamos que estos consejos te sean lo suficientemente útiles para poder integrar la seguridad en el diseño de tu sitio.