La importancia de configurar bien el software


Recientemente un amigo me comentó que acababa de alojar un par de páginas webs realizadas con un conocido framework de PHP, y me pidió si podía echarle un vistazo a ver si estaban bien.

Primero me empapé de la documentación del framework, y ya me dí cuenta de que la instalación era un poco curiosa, ya que el directorio raiz de la aplicación era un subdirectorio del propio framework, algo que con Plesk (el panel de control  que utiliza mi amigo) chocaba un poco.  Esa configuración se realizaba así para que no fuesen accesibles los ficheros de configuración, cache, clases, objetos, etc mediante el navegador (algo parecido al directorio WEB-INF de las aplicaciones Java).

La persona que desarrolló la web, no comentó nada a nadie y simplemente dejó el directorio raiz de la aplicación en el directorio raiz del framework.  Después de la sorpresa inicial, ignorante de mi, pensé que habría protegido los directorios de configuración mediante .htaccess, pero intenté acceder a los ficheros que en teoría debían ir protegidos y ahí estaban, perfectamente visibles desde el navegador.

¿La solución? mediante configuración proteger esos directorios (no queríamos tocar la estructura de la aplicación, por si acaso), así ya solo puede acceder la aplicación a esos ficheros y los datos sensibles están ocultos a miradas indiscretas.

No está mal utilizar soluciones integradas, pero de una manera consciente y segura, así estamos todos a salvo.