¿Por qué deshabilitamos ciertas funciones de PHP?

  Servidores

La seguridad de tu sitio web y la estabilidad de nuestros servidores son nuestra prioridad número uno. Al operar en un entorno de hosting compartido, es vital garantizar que ninguna cuenta pueda afectar el rendimiento o la privacidad de las demás.

Para lograr esto, aplicamos una configuración técnica conocida como «PHP Hardening», que consiste en deshabilitar funciones específicas que, aunque potentes, representan un riesgo si caen en manos equivocadas.

Listado de funciones PHP deshabilitadas

Actualmente, en nuestros servidores se encuentran deshabilitadas las siguientes funciones:

exec, system, shell_exec, passthru, popen, proc_open, proc_close, proc_nice, proc_terminate, proc_get_status, pcntl_fork, pcntl_alarm, pcntl_waitpid, pcntl_wait, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, pcntl_wexitstatus, pcntl_wifcontinued, pcntl_signal, pcntl_signal_dispatch, pcntl_sigprocmask, pcntl_sigtimedwait, pcntl_sigwaitinfo, pcntl_getpriority, pcntl_setpriority, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_getpwuid, posix_uname, dl, show_source, symlink, phpinfo, mail

¿Qué significa que una función esté deshabilitada?

PHP es un lenguaje muy flexible que permite interactuar directamente con el sistema operativo del servidor. Si un atacante logra vulnerar un plugin desactualizado en tu web, podría usar estas funciones para ejecutar comandos maliciosos, borrar archivos o propagar spam. Al bloquearlas, eliminamos esos vectores de ataque de raíz.

Las funciones restringidas y su propósito

A continuación, explicamos las categorías principales de funciones que mantenemos deshabilitadas en nuestros servidores:

1. Ejecución de comandos del sistema

Funciones como exec, system, shell_exec y passthru permiten que un script de PHP ejecute comandos directamente en la terminal de Linux.

  • El riesgo: Un atacante podría listar todos los archivos del servidor o intentar escalar privilegios.
  • Nuestra política: Bloqueamos estas funciones para asegurar que los procesos de PHP se mantengan estrictamente dentro de los límites de tu cuenta de hosting.

2. Control de procesos (PCNTL y POSIX)

Funciones como pcntl_fork, posix_kill o posix_setuid gestionan cómo se comportan los procesos en el procesador.

  • El riesgo: Un script malicioso (o mal programado) podría crear procesos infinitos, consumiendo toda la CPU y haciendo que los sitios web de otros clientes se vuelvan lentos.
  • Nuestra política: Garantizamos un reparto equitativo de recursos para todos los usuarios.

3. Seguridad de la información y privacidad

Funciones como phpinfo, show_source y posix_uname revelan detalles técnicos profundos.

  • El riesgo: Exponen versiones de software, rutas de archivos y configuraciones del kernel que ayudan a los hackers a planificar ataques específicos.
  • Nuestra política: Aplicamos el principio de «mínima información necesaria» para proteger la infraestructura.

4. Envío de correos (mail)

Hemos deshabilitado la función nativa mail() de PHP para combatir el SPAM y proteger la reputación de nuestras direcciones IP.

  • La solución: Recomendamos a nuestros clientes utilizar SMTP (mediante librerías como PHPMailer o plugins como WP Mail SMTP en WordPress). Esto garantiza que tus correos lleguen a la bandeja de entrada y no a la de correo no deseado.

¿Cómo afecta esto a mi sitio web?

La inmensa mayoría de los CMS modernos como WordPress, Joomla y PrestaShop funcionan perfectamente con estas restricciones. Solo en casos muy específicos (como scripts de administración de sistemas personalizados) podrías notar alguna limitación.

Beneficios para ti:

  1. Mayor estabilidad: Tu web no se verá afectada por procesos «rebeldes» de otros usuarios.
  2. IPs Limpias: Al restringir la función mail nativa, evitamos que el servidor caiga en listas negras de SPAM.
  3. Protección Proactiva: Incluso si tu sitio tiene una vulnerabilidad, el daño que un hacker puede hacer está fuertemente limitado.

¿Necesitas ayuda adicional?

Si estás desarrollando una aplicación que requiere una configuración específica o tienes dudas sobre cómo configurar tu envío por SMTP, nuestro equipo técnico está listo para asesorarte.

Visita nuestra base de conocimientos en ayuda.inkani.com o abre un ticket de soporte desde tu área de cliente.

En inkani, cuidamos tu presencia digital.