Como você sabe se a sua instalação do Apache é segura?

Se você instalou o Apache a partir do repositório, ele já é seguro o suficiente se você mantê-lo atualizado. A maioria dos ataques hoje em dia depende de vulnerabilidades antigas em aplicativos da Web e ataques de força bruta via FTP ou ssh.

Dito isso, você sempre pode melhorar a segurança do seu Apache / PHP com algumas práticas recomendadas, incluindo o manual de segurança do PHP e o benchmark Apache CIS:

• Segurança do PHP
• Apache CIS

Como próximo passo, recomendo monitorar seu sistema. Olhe para os logs, alterações de arquivos, etc. As melhores ferramentas para isso são:

• Modsecurity
• OSSEC HIDS

Você sempre pode monitorar seu site remotamente, usando o monitoramento de integridade baseado em rede (que procura por alterações no site, modificações de whois, listas negras, etc) usando Sucuri ( é uma ferramenta gratuita que eu desenvolvi) .

Há uma infinidade de ferramentas na Internet para verificação de segurança, além de ferramentas para o lançamento de ataques reais. Por que não se apossar de alguns e executá-los contra o seu servidor web. Monitorar para ver o que aconteceu é uma coisa. Ver o que realmente passa e, possivelmente, derrubá-lo, é outra coisa completamente diferente. Nem todos os ataques serão óbvios nos registros.

O Nessus e o MetaSploit seriam boas ferramentas para começar. Dito isso, você também precisa garantir que todos os aplicativos da Web executados em seu servidor também sejam seguros, o que não é tão fácil de determinar com as ferramentas de verificação.