Faille pour spamdexing dans vos fichiers PhpInfo()
La fonction phpinfo() est bien pratique lors du développement d’une application web, mais depuis longtemps il est déconseillé de laisser le fichiers PhpInfo en accès libre sur votre hébergement, car il peut être utilisé par des hackers pour comprendre plus rapidement votre application et en déceler les failles, mais pire il peut être utilisé dans certains types d’attaques Cross Site Scripting .
La dernière en date est une technique de spamdexing (annoncé par le blog Black Hat BVWG), qui consiste à l’affichage à la volée d’un backlink dans le fichier phpinfo (voir dans les variables php à _REQUEST[« f »] ).
Les 68800 sites référencés susceptible de subir cette technique risquent un blacklistage en règle lorsque seront générés des milliers de backlinks vers des sites de spam (à noter qu’il existe à la racine de sites des milliers de phpinfo.php qui ne sont pas indexé par Google, mais qui peuvent aussi subir cette faille).