Существуют ли универсальные способы обезопасить php сайты?

Question

[Илья Т.]

Иногда помогаю друзьям захостить какой-нибудь php сайтик (чаще-всего wordpress но бывают варианты вплоть до magento).
Для этого собираю стандартный LAMP стек типа:
Apache2 + PHP 5.х + ModPHP + Mod security со стандартными конфигами
От самих используемых CMS я очень далек и не хотел бы в это углубляться.
Не смотря на всю разъяснительную работу, эти сайтики часто ломают - чаще всего через какой-нибудь дырявый говноплагин который друзья устанавливают сами.
Друзья плачут, я восстанавливаю всё из бэкапов, удаляю дырявый плагин и через некоторе время история повторяется с другим плагином.
Вопрос: какие существуют способы обезопасить подобные сайты на уровне ОС и используемого системного ПО (не средствами CMS). Я понимаю что серебряной пули не существует, но возможно есть способы снизить риски ?
зы: Интересуют именно технические варианты решения. Административные я сам могу придумать.

Comments

[Lynn «Кофеман»]

Выдернуть сеть и питание

[Lynn «Кофеман»]

Серьёзно, согласен с Александром: деньги будут дисциплинировать друзей и, может, они подумают прежде чем ставить очередной плагин

Answer 1

[Sanes]

Запретить друзьям устанавливать плагины.

Comments

[Илья Т.]

это административный путь - не рассматриваем т.к. не интересно

[Назар Мокринский]

Илья Т.: А как иначе у вас на сервере не появятся плагины с вирусами?

Answer 2

[Saboteur]

Либо автоматизируйте восстановление сайтов из бэкапа, чтобы у ваших друзей была кнопочка, и вы забудете про этот гемор, либо за каждое восстановление берите деньги.

Answer 3

[Александр Таратин]

https://sitecoder.blogspot.ru/2016/05/website-prot...

Comments

[Илья Т.]

Это все сделано.

Answer 4

[Виталий]

Обязательно:
* Установить и настроить SUExec, и желательно настроить так, чтобы папка сайта (например, "Public_HTML" или "www", или site1/www, site2.www, etc.) была в хомяке зверя (по SFTP удобнее будет лазать)
* Каждый зверь должен иметь свой UNIX-аккаунт и регу на MySQL-сервере (каждому одну или несколько базок)
* Желательно собрать php из исходников и запускать через CGI (SUExec работает только на CGI), можно юзерям назначать INI-файлы индивидуально (например, включать/выключать определенные модули)

Что на счёт самих CMS, средствами OS можно лишь назначить владельцем рута и штатные CMS-ные файлы сделать "только чтение". Тем самым изменять файлы самой CMS не получится ни у кого, а вот использовать - на здоровье. Только один минус: теряется возможность автообновления, потребуется рут, чтобы заменить такие файлы. На стороне MySQL от аварии не спасёт если один из плагинов коряво попытается изменить одну из существующих таблиц (тем самым испортив её), а не добавить новую, для себя.

Comments

[Назар Мокринский]

Проще Docker контейнеры поднять и пусть творят там что хотят (разве что I/O не получится ограничить)

[Илья Т.]

Назар Мокринский: у меня не стоит задача "защитить сервер от сайта" - это я слава богу умею. У меня задача защитить "сайт от самого себя"

[Виталий]

Илья Т.: как я уже сказал, назначить chown root:root и chmod 444 на все файлы сайта (папки должны быть 755), так файлы будет невозможно перезаписать, даже если они лежат в хомяке зверя. Это защитит файлы от перезаписи, подмены, порчи

[Илья Т.]

Виталий: стараюсь так делать, но в реальной жизни так не получается так как многие cms активно работают с файлами на запись

[Виталий]

Илья Т.: ну хотя бы защитить самые важные из них (ядерные пышки, которые 100% не меняются). Я лично против применения CMS (за исключением phpBB) и предпочитаю самописки. Да, их дольше строить, особенно если руками калибровать стиль, но они надёжнее, легче, и весь код под полным контролем.