Как убрать лишнюю информацию о версиях ПО на вашем сайте.
Лишний вывод о версиях PHP и Apache — подсказка для хакеров-взломщиков серверов. Лучше отключить эту информацию, так как они подберут эксплоиты под ваше ПО, залезут на сервер поставят свое ПО.

К примеру, что выводится в отладочной информации в браузере, если загрузить ваш сайт:
убрать версии php и apache
Или если пройти в папку для которой разрешен вывод списка файлов:
убрать версии php и apache
То есть теперь известно какой версии веб-сервер и PHP, можно искать уязвимости в них.

Отключаем.
В php.ini:

expose_php = off

В httpd.conf:

ServerTokens Prod
ServerSignature Off

Теперь перезагрузите веб-сервер.

Убралась информация о PHP X-Powered-By и версия Apache, но теперь просто написано: Apache без версии, можно и это убрать.
убрать версии php и apache
убрать версии php и apache из заголовка

Убрать Server: Apache не получится без перекомпиляции Apache, можно только с помощью модуля mod_security изменить сигнатуру.

Так что устанавливаем модуль для CentOS/RHEL/Fedora:

# yum install mod_security

Для Debian/Ubuntu

$ sudo apt install libapache2-mod-security2
$ sudo a2enmod security2

, и прописываем в конфиг apache:

ServerTokens Prod
SecServerSignature "HardServer"

Если установлен nginx, то в нем:

server_tokens off;

Если нужно убрать полностью из заголовков Server, нужно пересобрать nginx с дополнительным модулем:

# wget 'http://nginx.org/download/nginx-1.15.10.tar.gz'
# tar -xzvf nginx-1.15.10.tar.gz


// также нужно скачать исходники модуля headers-more-nginx-module
// исходники: https://github.com/openresty/headers-more-nginx-module/tags
// и указать путь до них в параметре --add-module
# wget 'https://github.com/openresty/headers-more-nginx-module/archive/v0.33.zip'

# cd nginx-1.15.10/

// могут понадобиться компилятор C, PCRE библиотека и zlib
// yum install zlib-devel
// yum install pcre-devel
// yum install gcc

# указываем путь до nginx /opt/nginx/.
 ./configure --prefix=/opt/nginx \
     --add-module=/path/to/headers-more-nginx-module

 make
 make install

И поставить в конфиге:

more_clear_headers Server;

Теперь вообще не будет данных про сервер в заголовке.
nginx убрать Server параметр из заголовка HTTP

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *