Dissimuler phpinfo()

le bref fragment de code PHP.

Ce petit bout de code produira un grand document HTML donnant la liste de tous les paramètres .ini de PHP, options de compilation, modules d’extension inclus, et beaucoup d’autres informations qu’il vaut mieux que les pirates ne voient pas. Bien que phpinfo() soit un outil de débogage précieux, capable de collecter des informations de sources disparates sur une page unique, les pirates l’utilisent pour trouver des failles.

Il est bon que vous puissiez accéder facilement à la sortie de phpinfo() pour dépanner des applications, mais veillez à cacher cet accès, peut-être par une protection par mot de passe. PHP version 5.2.1 a amélioré cette situation en ajoutant des mots-clés ordonnant aux moteurs de recherche de ne pas indexer les pages phpinfo, ce qui réduit la menace du Google hacking.

Malgré cela, un observateur étranger à l’entreprise visualisant votre phpinfo() risque d’y trouver bien plus que vous ne le souhaiteriez.

Moralité : n’utilisez jamais la convention phpinfo.php, car c’est ce que tout pirate recherche dans un site victime potentiel.