Ocultando PHP

En general, la seguridad por obscuridad es una de las formas más débiles de la seguridad. Pero en algunos casos, cada pequeño elemento extra de seguridad es deseable.

Unas cuantas técnicas simples pueden ayudar a ocultar PHP, posiblemente retrasando a un atacante que está tratando de descubrir debilidades en el sistema. Al configurar expose_php en off en el archivo php.ini, se reduce la cantidad de información disponible para ellos.

Otra táctica es configurar servidores web como Apache para interpretar diferentes tipos de archivos por medio de PHP, ya sea con una directiva .htaccess o en el propio archivo de configuración de Apache. Entonces se pueden utilizar extensiones de archivo engañosas:

Ejemplo #1 Ocultando PHP como si fuera otro lenguaje

# Hacer ver el código PHP como si fueran otros tipos de código
AddType application/x-httpd-php .asp .py .pl

U oscurecerlo completamente:

Ejemplo #2 Utilizando tipos desconocidos para extensiones de PHP

# Hacer ver el código PHP como si fueran tipos desconocidos
AddType application/x-httpd-php .bop .foo .133t

U ocultarlo como código HTML, lo cual tiene un pequeño impacto de rendimiento debido a que todos los archivos HTML serán procesados por el motor de PHP:

Ejemplo #3 Utilizando tipos HTML para extensiones de PHP

# Hacer ver el código PHP como si fueran HTML
AddType application/x-httpd-php .htm .html

Para que esto funcione eficazmente, se debe cambiar el nombre de los archivos PHP con las extensiones de arriba. Si bien es una forma de seguridad por oscuridad, es una medida preventiva menor con pocos inconvenientes.