PHP est toujours un des langages incontournables pour les sites web. Quelles sont principales faiblesses, vulnérabilités et mauvaises configurations qui mettent à mal les applications PHP et favorisent un hack ? Qualys propose le top 4 suivant :

- versions obsolètes toujours en production et des plugins non mis à jour

- mauvaise configuration des permissions sur les fichiers (et dossiers)

- les composants de debug toujours actifs en production (non on ne rigolae pas)

- un stockage mal sécurisée

Les conséquences peuvent être sévères : exécution de codes malveillants, accès à des données, utilisation du serveur pour installer et exécuter un malware. 

Quelques bonnes pratiques pour réduire les risques :

1 / versioning régulier de la stack technique, des dépendances, des plugins.

2 / Surveiller les CVE et rapports de sécurité des éditeurs et fournisseurs 

3 / Mettre à jour et builder systématiquement les conteneurs avec les dernières versions

4 / désactiver tous les outils de debug, de remonte debug, d'accès cachés, etc. 

5 / protéger les fichiers sensibles et les secrets : rien ne doit être en clair dans les fichiers. Si besoin utilisez un gestionnaire de secrets

6 / restreindre les accès à vos serveurs, de ne pas exposer les chemins internes

Bien entendu, ces pratiques sont valables pour tous les langages :-)

Source : https://blog.qualys.com/vulnerabilities-threat-research/2025/10/30/what-security-teams-need-to-know-as-php-and-iot-exploits-surge