Bij Kyzoe Hosting staat veiligheid, stabiliteit en betrouwbaarheid van onze hostingomgeving centraal. Om misbruik, hacks en ongewenste serverbelasting te voorkomen, zijn een aantal risicovolle PHP-functies standaard uitgeschakeld op onze shared- en managed hostingplatformen.
Deze maatregel is conform best practices binnen professionele hostingomgevingen en sluit aan bij de vereisten rond security hardening.
Welke PHP-functies zijn uitgeschakeld? #
De volgende functies zijn standaard gedeactiveerd:
|
1 2 3 4 5 6 |
exec, system, passthru, shell_exec, dl, popen, show_source, posix_kill, posix_mkfifo, posix_getpwuid, posix_setpgid, posix_setsid, posix_setuid, posix_setgid, posix_seteuid, posix_setegid, posix_uname, pcntl_exec, expect_popen |
Waarom worden deze functies uitgeschakeld? #
1. Uitvoering van servercommando’s (kritiek veiligheidsrisico) #
Functies zoals exec, system, shell_exec, passthru, popen, pcntl_exec en expect_popen laten PHP toe om direct systeemcommando’s uit te voeren.
➡️ Risico:
Bij een kwetsbare plugin, theme of slecht geschreven code kan een aanvaller:
- shell-toegang verkrijgen
- malware installeren
- andere websites op dezelfde server compromitteren
2. Manipulatie van systeemprocessen en gebruikers #
De posix_*-functies geven toegang tot laag-niveau Unix-functionaliteit, zoals:
- gebruikers- en groepsrechten
- procesbeheer
- systeeminformatie
➡️ Risico:
Deze functies zijn niet nodig voor standaard webapplicaties (zoals WordPress, Joomla of Laravel), maar kunnen wél misbruikt worden voor privilege escalation.
3. Dynamisch laden van PHP-extensies (dl()) #
De functie dl() maakt het mogelijk om PHP-extensies tijdens runtime te laden.
➡️ Risico:
- Omzeilen van serverconfiguratie
- Onvoorspelbaar gedrag en instabiliteit
- Potentieel uitvoeren van ongewenste code
4. Informatie-lekken via broncode #
De functie show_source() kan PHP-broncode zichtbaar maken.
➡️ Risico:
- Blootleggen van API-sleutels
- Databasegegevens of interne logica zichtbaar maken
Heeft mijn website deze functies nodig? #
In 99% van de gevallen: nee.
Populaire CMS-systemen en frameworks werken volledig zonder deze functies:
- WordPress
- WooCommerce
- Drupal
- Joomla
- Laravel
- Symfony
Indien een applicatie toch afhankelijk is van dergelijke functies, wijst dit vaak op:
- verouderde software
- onveilige maatwerkcode
- een toepassing die beter thuishoort op een VPS of dedicated server
Kan ik deze functies laten inschakelen? #
Om veiligheidsredenen kunnen deze functies niet worden ingeschakeld op shared hosting.
👉 Heb je een legitieme use-case?
- Neem contact op met onze support
- We bekijken samen of een VPS-oplossing of aangepaste serverconfiguratie aangewezen is
Samengevat #
✔ Verhoogde beveiliging
✔ Bescherming tegen hacks en malware
✔ Betere serverstabiliteit
✔ Conform professionele hostingstandaarden
Door deze PHP-functies uit te schakelen zorgen we ervoor dat jouw website én andere klanten veilig blijven.
