应为phpinfo()页面添加密码保护,方法包括:一、Apache下用.htaccess做HTTP基本认证;二、PHP脚本内嵌会话密码校验;三、Nginx中结合IP白名单与auth_basic;四、重命名文件并禁用目录索引;五、防火墙限制访问源。
如果您的服务器上公开暴露了phpinfo()页面,攻击者可能利用该页面获取敏感的PHP配置信息,从而增加系统被入侵的风险。以下是为phpinfo页面添加密码保护的安全访问控制方法:
一、使用Apache .htaccess文件进行HTTP基本认证
通过在存放phpinfo.php文件的目录中配置.htaccess文件,可启用基于用户名和密码的HTTP基本认证,阻止未授权用户访问该页面。
1、创建一个名为phpinfo.php的文件,内容为,并将其放置在Web可访问目录下(如/var/www/html/)。
2、在该目录中新建名为.htaccess的文件,写入以下内容:
AuthType Basic
AuthName "Restricted Access"
AuthUserFile /etc/apache2/.phpinfo_htpasswd
Require valid-user
立即学习“PHP免费学习笔记(深入)”;
3、使用htpasswd命令生成密码文件:
sudo htpasswd -c /etc/apache2/.phpinfo_htpasswd admin(执行后将提示输入并确认密码)。
4、确保Apache已启用mod_authn_file和mod_authz_core模块,并重启服务:
sudo systemctl restart apache2。
二、在PHP脚本内部实现登录验证
通过在phpinfo.php文件开头嵌入简单的会话与密码校验逻辑,避免依赖Web服务器模块,适用于Nginx或共享主机环境。
1、编辑phpinfo.php文件,在
session_start();
if (!isset($_SESSION['phpinfo_auth']) || $_SESSION['phpinfo_auth'] !== true) {
if (!isset($_POST['password'])) {
echo '
exit;
}
if ($_POST['password'] === 'your_secure_password_here') {
$_SESSION['phpinfo_auth'] = true;
} else {
echo '密码错误,请重试';
exit;
}
}
2、将'your_secure_password_here'替换为您自行设定的强密码(至少12位,含大小写字母、数字及符号)。
3、确保PHP会话功能可用,且phpinfo.php所在目录具有可写权限以保存session数据。
三、通过Nginx location指令限制IP并结合auth_basic
若使用Nginx作为Web服务器,可在server块中针对phpinfo.php路径单独配置IP白名单与HTTP认证,实现双重访问控制。
1、打开站点配置文件(如/etc/nginx/sites-available/default),在server块内添加如下location块:
location = /phpinfo.php {
allow 192.168.1.100;
deny all;
auth_basic "phpinfo Access";
auth_basic_user_file /etc/nginx/.phpinfo_passwd;
fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
2、使用openssl生成密码文件:
printf "admin:$(openssl passwd -apr1 your_password_here)" > /etc/nginx/.phpinfo_passwd。
3、测试配置并重载Nginx:
sudo nginx -t && sudo systemctl reload nginx。
四、重命名phpinfo文件并禁用目录索引
降低phpinfo页面被暴力扫描发现的概率,配合文件名混淆与目录浏览禁用,构成基础层面的防护。
1、将原始phpinfo.php重命名为不易猜测的名称,例如system_diag_9a7f2.php。
2、在Apache配置中添加:
3、在Web根目录的index.html中不提供任何指向该文件的链接或注释,确保仅限运维人员通过书签或记忆路径访问。
五、使用防火墙规则限制访问源端口与协议
通过系统级防火墙(如iptables或ufw)对phpinfo.php所对应URL路径的请求来源实施网络层过滤,防止非授权网络区域发起访问。
1、确认phpinfo.php通过HTTPS提供服务,强制HTTP请求重定向至HTTPS。
2、使用ufw限制仅允许特定管理IP访问Web端口:
sudo ufw allow from 203.0.113.45 to any port 443(203.0.113.45为管理员办公IP)。
3、禁止其他所有IP对443端口发起包含phpinfo.php路径的请求(需配合应用层日志分析与fail2ban规则进一步强化)。
