1. 系统与PHP版本更新
保持Ubuntu系统和PHP及其扩展为最新版本,及时修复已知安全漏洞。使用sudo apt update && sudo apt upgrade命令更新系统,通过sudo apt install php php-cli php-fpm php-mysql php-curl php-xml php-zip安装或更新PHP及相关扩展。
2. PHP配置文件(php.ini)安全设置
display_errors = Off),开启日志记录(log_errors = On)并将日志指向专用文件(error_log = /var/log/php_errors.log),避免敏感信息泄露。disable_functions指令禁用可能被滥用的函数,如eval,exec,system,passthru,shell_exec,curl_exec等,防止命令注入攻击。file_uploads = On(允许上传),但限制文件大小(upload_max_filesize = 2M、post_max_size = 8M),并通过open_basedir指令限制PHP脚本可访问的目录(如open_basedir = /var/www/html/:/tmp/),防止恶意文件执行。allow_url_fopen和allow_url_include(均设为Off),防止通过URL访问远程文件或包含远程脚本,避免远程代码执行风险。opcache.enable=1开启OPcache,提高PHP执行效率的同时,减少代码重复解析带来的安全风险。3. Web服务器配置加固
mod_security(sudo a2enmod security2)和mod_evasive(sudo a2enmod evasive20)模块,前者用于拦截常见攻击(如SQL注入、XSS),后者防止暴力破解和DDoS攻击;隐藏Apache版本信息(ServerTokens Prod)并移除X-Powered-By响应头(Header unset X-Powered-By),降低信息泄露风险。location = /xmlrpc.php { deny all; }),限制对敏感文件的访问;通过location ~ \.php$块确保仅PHP-FPM处理PHP文件(fastcgi_pass unix:/var/run/php/php7.x-fpm.sock;),并禁止访问上传目录中的PHP文件(location ~ ^/(uploads|assets)/.*\.(php|php5|jsp)$ { deny all; })。4. 安全模块与扩展应用
sudo aa-enforce /etc/apparmor.d/usr.sbin.php-fpm),防止其访问系统关键目录(如/etc、/root);SELinux可通过setenforce 1开启强制模式,进一步增强隔离。sudo apt install php-suhosin),提供缓冲区溢出防护、格式化串攻击防御等功能,补充PHP原生安全机制。5. 文件与目录权限管理
确保PHP文件及目录归属正确(sudo chown -R www-data:www-data /path/to/php/project),避免权限过高(如chmod 777)。敏感目录(如storage、bootstrap/cache)设置适当权限(sudo chmod -R ug+rwx storage bootstrap/cache),防止未授权访问。
6. HTTPS加密与数据传输保护
使用Let’s Encrypt免费获取SSL/TLS证书(sudo apt install certbot python3-certbot-apache),通过sudo certbot --apache -d yourdomain.com命令为网站配置HTTPS,强制加密客户端与服务器之间的数据传输,防止中间人攻击。
7. 防火墙与访问控制
使用UFW(Uncomplicated Firewall)限制服务器访问,仅允许必要端口(如HTTP 80、HTTPS 443):sudo ufw allow 'Nginx Full',然后开启防火墙(sudo ufw enable)。禁用SSH root登录(修改/etc/ssh/sshd_config中的PermitRootLogin no),使用密钥认证替代密码认证,降低SSH暴力破解风险。
8. 日志监控与安全审计
启用PHP错误日志(log_errors = On)和Web服务器访问日志(如Apache的/var/log/apache2/access.log、Nginx的/var/log/nginx/access.log),使用tail -f /var/log/php_errors.log实时监控异常;安装auditd工具(sudo apt install auditd),通过sudo auditctl -w /path/to/php/files -p wa -k php-files命令监控PHP文件变动,及时发现可疑活动。
9. 安全编码实践
filter_var()函数验证用户输入(如邮箱、URL),通过htmlspecialchars()或strip_tags()转义输出,防止XSS攻击。$stmt = $mysqli->prepare("SELECT * FROM users WHERE id = ?"); $stmt->bind_param("i", $id);),避免直接拼接SQL语句。password_hash()函数存储用户密码($hashed_password = password_hash('user_password', PASSWORD_DEFAULT);),通过password_verify()函数验证密码,确保密码强度。10. 定期安全审计与维护
使用PHPSA(PHP Security Advisories Checker)等工具扫描代码,查找潜在安全漏洞(如未过滤输入、过时的函数);定期备份网站文件和数据库(sudo rsync -avz /var/www/html /path/to/backup、mysqldump -u username -p database_name > database_backup.sql),确保数据可恢复。