Убрать X-Powered-By Apache
Как убрать лишнюю информацию о версиях ПО на вашем сайте.
Лишний вывод о версиях PHP и Apache — подсказка для хакеров-взломщиков серверов. Лучше отключить эту информацию, так как они подберут эксплоиты под ваше ПО, залезут на сервер поставят свое ПО.
К примеру, что выводится в отладочной информации в браузере, если загрузить ваш сайт:
Или если пройти в папку для которой разрешен вывод списка файлов:
То есть теперь известно какой версии веб-сервер и PHP, можно искать уязвимости в них.
Отключаем.
В php.ini:
expose_php = off
В httpd.conf:
ServerTokens Prod ServerSignature Off
Теперь перезагрузите веб-сервер.
Убралась информация о PHP X-Powered-By и версия Apache, но теперь просто написано: Apache без версии, можно и это убрать.
Убрать Server: Apache не получится без перекомпиляции Apache, можно только с помощью модуля mod_security изменить сигнатуру.
Так что устанавливаем модуль для CentOS/RHEL/Fedora:
# yum install mod_security
Для Debian/Ubuntu
$ sudo apt install libapache2-mod-security2 $ sudo a2enmod security2
, и прописываем в конфиг apache:
ServerTokens Prod SecServerSignature "HardServer"
Если установлен nginx, то в нем:
server_tokens off;
Если нужно убрать полностью из заголовков Server, нужно пересобрать nginx с флагом:
wget 'http://nginx.org/download/nginx-1.13.6.tar.gz' tar -xzvf nginx-1.13.6.tar.gz cd nginx-1.13.6/ # Here we assume you would install you nginx under /opt/nginx/. ./configure --prefix=/opt/nginx \ --add-module=/path/to/headers-more-nginx-module make make install
И поставить в конфиге:
more_clear_headers Server;