Blog

 

¿QUÉ HA OCURRIDO EXACTAMENTE?

A partir de la versión PHP 8.1, la visualización de errores a través del navegador estaba activada por defecto (display_errors = on).

Debido a que se trata de la configuración por defecto de PHP y sus desarrolladores asumen que esta configuración únicamente permanece activa en entornos de desarrollo, recientemente han añadido más detalles a la visualización de errores.

Por ejemplo, esto podría derivar en que, si hubiera un fallo de conexión con la base de datos, se mostrasen en el navegador del visitante como una visualización de error en texto plano las credenciales de acceso a la base de datos…

 

¿QUÉ SE PUEDE HACER PARA MITIGAR ESTA POTENCIAL AMENAZA?

Con el fin de evitar la publicación de contenido sensible a través del navegador en caso de error, se recomienda modificar la configuración por defecto de modo «on» a «off».

De esta forma, ya no se produce el comportamiento descrito anteriormente con PHP 8.1, 8.2 y versiones más recientes.

Es importante que, de manera independiente a los ajustes mencionados previamente para PHP 8.1 y 8.2, se comprueben las contraseñas utilizadas (por ejemplo, para bases de datos en MySQL o MariaDB) y se restablezcan si fuese necesario.

Asimismo, no está de más, tener en cuenta las medidas generales de protección vigentes:

• Utilizar un gestor de contraseñas con caracteres alfanuméricos, mayúsculas, minúsculas, símbolos…
• Incorporar un doble factor de autentificación.
• Asegurar que se esté utilizando siempre una contraseña individual para cada servicio (espacio web, bases de datos, etc.).
• Comprobar si se ha establecido alguna configuración individual de PHP para la visualización de errores que sobrescriba la nueva configuración estándar de modo no intencionado.

 

Contribuyamos entre todos/as, a hacer de este “nuestro” Internet, un lugar mejor y más seguro.

¡Gracias!
😊 y un saludo.

 

Créditos para la imagen empleada en la cabecera, aquí.