Segurança — credenciais e segredos
Problema encontrado
Durante a análise do ZIP public_html(1).zip, foram
encontrados arquivos com credenciais/configurações sensíveis
hardcoded.
Arquivos com atenção imediata
| Arquivo | Risco | Correção recomendada |
|---|---|---|
public_html/model/db.php |
Host, usuário e senha do banco no código. | Migrar para variáveis de ambiente ou arquivo fora do
public_html. |
public_html/pages/Franquia/config.php |
Config real de banco/admin/SMTP. | Não versionar; manter apenas config.sample.php. |
public_html/NPS/nps_app_php/config/config.php |
Configuração de banco e SMTP. | Usar getenv() para todos os segredos. |
public_html/pages/Home/sections/instagram.php |
Token de acesso hardcoded. | Migrar token para variável de ambiente. |
Arquivos .sql em pasta pública |
Podem expor estrutura e dados. | Remover após instalação ou bloquear por .htaccess. |
.zip dentro de img/ |
Backup público/acidental. | Remover do public_html. |
Padrão correto
- Nunca expor senha no repositório.
- Nunca enviar
config.phpreal em pacote de suporte. - Usar
.env.examplesem valores reais. - Em cPanel/UOL, guardar segredo em variável de ambiente quando disponível ou em arquivo fora da pasta pública.
- Rotacionar senhas quando houver suspeita de exposição.
Exemplo .env
DB_HOST=128.0.0.1
DB_DATABASE=motionfit_site
DB_USERNAME=usuario
DB_PASSWORD=trocar
SMTP_HOST=smtps.uhserver.com
SMTP_PORT=465
SMTP_USERNAME=sistema.auxiliar@motionfitacademia.com.br
SMTP_PASSWORD=trocar
META_INSTAGRAM_TOKEN=trocarAção imediata recomendada
- Trocar a senha do banco usada no site público.
- Trocar a senha SMTP encontrada/configurada em apps.
- Revogar e recriar token do Instagram/Meta.
- Remover arquivos
.zip,.sqle configs reais depublic_html. - Validar se diretórios de upload não executam PHP.