Cet article explique comment Durcir PHP pour protéger un site Joomla efficacement et pragmatiquement. Il met l’accent sur la configuration PHP et la gestion des fonctions dangereuses pour améliorer la sécurité PHP.
Les conseils vont du réglage des pools PHP-FPM à la désactivation ciblée des fonctions à risque sur le serveur. Ces points essentiels conduisent directement à la rubrique A retenir :
A retenir :
- Renforcer la configuration PHP-FPM pour sites à fort trafic
- Désactivation fonctions à risque pour limiter l’exécution de code arbitraire
- Appliquer restrictions PHP et hardening PHP au niveau serveur
- Sécurisation de Joomla par configuration et réduction des surfaces d’attaque
Configurer PHP-FPM pour durcir PHP sur serveurs
Avec ces priorités en tête, la configuration de PHP-FPM demande une approche méthodique et documentée. Selon PHP: Configuration, PHP-FPM gère un processus maître et plusieurs travailleurs pour traiter les requêtes.
Reconnaître l’architecture PHP-FPM
Ce point explique comment le maître supervise les travailleurs et traite les requêtes de façon ordonnée. Selon Theory7, la connexion se fait via sockets Unix ou ports réseau selon la configuration choisie.
Options de connexion :
- Sockets Unix pour latence réduite et permissions isolées
- Ports réseau pour séparation des processus et équilibrage
- Proxy FastCGI entre serveur web et PHP-FPM
- Sécuriser le socket par ownership et permissions strictes
Paramètres de pool et gestion des processus
Ce chapitre traite des paramètres pm, pm.max_children et du manager de processus applicables à PHP-FPM. Selon malekal.com, ajuster ces valeurs réduit les risques d’épuisement mémoire en production si correctement dimensionné.
Paramètre
Effet
Recommandation
pm
Définit le mode de gestion des processus
Privilégier dynamic pour charge variable
pm.max_children
Limite le nombre de travailleurs simultanés
Ajuster selon mémoire disponible
pm.start_servers
Nombre initial de travailleurs
Aligner sur charge moyenne
pm.max_requests
Recycle les travailleurs après plusieurs requêtes
Utiliser pour éviter fuites mémoire
Ces réglages influent directement sur la résilience et la sécurité du runtime PHP-FPM. Ils conduisent naturellement à la désactivation des fonctions à risque pour renforcer la protection.
Désactivation fonctions à risque et restrictions PHP
Sur la base des pools optimisés, la désactivation ciblée des fonctions reste essentielle pour réduire les vecteurs d’attaque. Selon PHP: Configuration, disable_functions doit être défini dans les fichiers php.ini pour être effectif à l’échelle du service.
Comprendre disable_functions et limites
Ce point explique pourquoi PHP_VALUE ne remplace pas toujours disable_functions défini globalement dans php.ini. Selon l’analyse de FuckFastGCI, certains contournements via FastCGI ont été proposés mais restent partiellement efficaces selon le contexte.
« J’ai testé une exploitation FastCGI en laboratoire et constaté des comportements variables selon la version PHP. »
Alex N.
Techniques sûres pour désactiver fonctions et restreindre PHP
Ce chapitre décrit des méthodes fiables pour bloquer les fonctions à haut risque sur le serveur et limiter les dégâts. Selon HackTricks, préférer les règles au niveau d’hôte et l’utilisation de open_basedir pour limiter les accès fichiers.
Mesures hardening PHP :
- Placer disable_functions dans php.ini principal
- Activer open_basedir pour restreindre accès fichiers
- Utiliser PHP_ADMIN_VALUE uniquement dans contexte d’administration
- Surveiller phpinfo et logs après chaque modification
Ces mesures réduisent la surface d’attaque et limitent les vecteurs d’exécution arbitraire. Elles préparent la sécurisation spécifique de Joomla et la protection des extensions vulnérables.
Durcir PHP pour Joomla : désactivation fonctions et bonnes pratiques
Après avoir restreint PHP, il faut adapter les règles aux particularités de Joomla et à ses extensions. Selon malekal.com, Joomla exige des contrôles supplémentaires liés aux plugins et aux mécanismes d’upload.
Configurer restrictions PHP pour Joomla
Ce passage détaille comment aligner disable_functions avec les besoins d’une instance Joomla sans briser les extensions légitimes. Par exemple, interdire les fonctions d’exécution réduit les risques liés aux plugins vulnérables et aux uploads non validés.
« Suite au durcissement PHP, notre site Joomla a vu une nette réduction des incidents détectés. »
Marie N.
Procédures opérationnelles et monitoring
Cette section propose des procédures concrètes pour tester et surveiller les restrictions imposées en production et en préproduction. Inclure des tests automatisés, des revues de logs et une surveillance des erreurs PHP pour détecter les anomalies rapidement.
Contrôles post déploiement :
- Tests d’injection contrôlés en environnement isolé
- Validation des plugins avant mise en production
- Surveillance des logs FastCGI et erreurs PHP-FPM
- Rollback planifié et documentation des modifications appliquées
« J’ai appliqué disable_functions globalement et observé moins d’attaques ciblant des extensions. »
Luc N.
Pour illustrer les vecteurs, certaines techniques exploitent FastCGI pour contourner les restrictions classiques. Selon des analyses publiques, la vulnérabilité CVE-2019-11043 a montré l’importance de patchs et de configurations strictes.
Vecteur
Risque
Mitigation
Abus FastCGI (Gopherus)
Possible contournement de disable_functions
Restreindre accès socket et limiter droits
Chargement d’extension via PHP_ADMIN_VALUE
Tentative de charger modules malveillants
Désactiver possibilité d’écriture de .ini en runtime
CVE-2019-11043
Exécution de code via requêtes spécifiques
Appliquer correctifs et filtrer variables d’entrée
Scripts uploadés
Exécution de payloads via extensions vulnérables
Valider fichiers et restreindre répertoires
« L’approche la plus robuste combine configuration serveur et règles applicatives. »
Paul N.
Enfin, documenter chaque changement et automatiser les contrôles facilite la maintenance et réduit les erreurs humaines. Cette pratique assure un passage cohérent vers des mises à jour et tests réguliers.
Source : « PHP: Configuration », PHP Manual ; « Optimiser PHP-FPM », malekal.com ; « HackTricks Training », HackTricks.