Убрать X-Powered-By Apache

Как убрать лишнюю информацию о версиях ПО на вашем сайте.
Лишний вывод о версиях PHP и Apache — подсказка для хакеров-взломщиков серверов. Лучше отключить эту информацию, так как они подберут эксплоиты под ваше ПО, залезут на сервер поставят свое ПО.

К примеру, что выводится в отладочной информации в браузере, если загрузить ваш сайт:
убрать версии php и apache
Или если пройти в папку для которой разрешен вывод списка файлов:
убрать версии php и apache
То есть теперь известно какой версии веб-сервер и PHP, можно искать уязвимости в них.

Отключаем.
В php.ini:

expose_php = off

В httpd.conf:

ServerTokens Prod
ServerSignature Off

Теперь перезагрузите веб-сервер.

Убралась информация о PHP X-Powered-By и версия Apache, но теперь просто написано: Apache без версии, можно и это убрать.
убрать версии php и apache
убрать версии php и apache из заголовка

Убрать Server: Apache не получится без перекомпиляции Apache, можно только с помощью модуля mod_security изменить сигнатуру.

Так что устанавливаем модуль для CentOS/RHEL/Fedora:

# yum install mod_security

Для Debian/Ubuntu

$ sudo apt install libapache2-mod-security2
$ sudo a2enmod security2

, и прописываем в конфиг apache:

ServerTokens Prod
SecServerSignature "HardServer"

Если установлен nginx, то в нем:

server_tokens off;

Если нужно убрать полностью из заголовков Server, нужно пересобрать nginx с флагом:

wget 'http://nginx.org/download/nginx-1.13.6.tar.gz'
 tar -xzvf nginx-1.13.6.tar.gz
 cd nginx-1.13.6/

 # Here we assume you would install you nginx under /opt/nginx/.
 ./configure --prefix=/opt/nginx \
     --add-module=/path/to/headers-more-nginx-module

 make
 make install

И поставить в конфиге:

more_clear_headers Server;

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *