Очень часто арендованные VPS/VDS аккаунты на хостингах не имеют должным образом настроенную систему безопасности PHP. При размещении более одного сайта на таких платформах и заражении всего лишь одной платформы - злоумышленник получает доступ ко всем сайтам сервера и бороться со скрытыми ссылками и вирусами становится безрезультатно (они будут появляться вновь и вновь).

Следует настроить файл конфигурации php.ini со следующими параметрами:

  1. Версия PHP 5.3 или выше.
  2. open_basedir = /home/user/domains/name.ru/ Это очень важный параметр, разрешающий обзор средствами php только в текущей папке проекта, а не на все сайты сервера.
  3. disable_functions = pcntl_exec, system, chmod, passthru, exec, chown, assert
  4. Установите опцию CHMOD 775 для папок:
    UserFiles/Image
    UserFiles/File
    phpshop/admpanel/csv
    files/price
    phpshop/admpanel/dumper/backup
    На все остальные папки права должны стоять CHMOD 755
    На все остальные файлы права должны стоять CHMOD 644
  5. allow_url_include = off

Проверка

После всех настроек можно загрузить ПО, которым пользуются злоумышленники и проверить возможность внедрения вредоносного кода. Ссылка для загрузки: http://yandex.ru/yandsearch?text=wso_2.5