Убрать X-Powered-By Apache
Как убрать лишнюю информацию о версиях ПО на вашем сайте.
Лишний вывод о версиях PHP и Apache — подсказка для хакеров-взломщиков серверов. Лучше отключить эту информацию, так как они подберут эксплоиты под ваше ПО, залезут на сервер поставят свое ПО.
К примеру, что выводится в отладочной информации в браузере, если загрузить ваш сайт:
Или если пройти в папку для которой разрешен вывод списка файлов:
То есть теперь известно какой версии веб-сервер и PHP, можно искать уязвимости в них.
Отключаем.
В php.ini:
expose_php = off
В httpd.conf:
ServerTokens Prod ServerSignature Off
Теперь перезагрузите веб-сервер.
Убралась информация о PHP X-Powered-By и версия Apache, но теперь просто написано: Apache без версии, можно и это убрать.
Убрать Server: Apache не получится без перекомпиляции Apache, можно только с помощью модуля mod_security изменить сигнатуру.
Так что устанавливаем модуль для CentOS/RHEL/Fedora:
# yum install mod_security
Для Debian/Ubuntu
$ sudo apt install libapache2-mod-security2 $ sudo a2enmod security2
, и прописываем в конфиг apache:
ServerTokens Prod SecServerSignature "HardServer"
Если установлен nginx, то в нем:
server_tokens off;
Если нужно убрать полностью из заголовков Server, нужно пересобрать nginx с дополнительным модулем:
# wget 'http://nginx.org/download/nginx-1.15.10.tar.gz'
# tar -xzvf nginx-1.15.10.tar.gz
// также нужно скачать исходники модуля headers-more-nginx-module
// исходники: https://github.com/openresty/headers-more-nginx-module/tags
// и указать путь до них в параметре --add-module
# wget 'https://github.com/openresty/headers-more-nginx-module/archive/v0.33.zip'
# cd nginx-1.15.10/
// могут понадобиться компилятор C, PCRE библиотека и zlib
// yum install zlib-devel
// yum install pcre-devel
// yum install gcc
# указываем путь до nginx /opt/nginx/.
./configure --prefix=/opt/nginx \
--add-module=/path/to/headers-more-nginx-module
make
make install
И поставить в конфиге:
more_clear_headers Server;
Теперь вообще не будет данных про сервер в заголовке.
