Fév
27
2011

Rendre les applications PHP/Apache anonymes

Lorsque vous surfez sur un serveur, celui-ci entre en contact avec et échange des informations avant d’afficher la page.

Par exemple le statut de la page (200,404,500), la date du serveur, compression de la page Gzip , cookies puis server:Apache & x-powered-by:PHP/5.2.16 par exemple ! (voir http://www.gidnetwork.com/tools/gzip-test.php

Apache/2.x.x (Unix) mod_ssl/2.x.x OpenSSL/0.x.x mod_XXX/x.x PHP/5.2.16 Server at blog.avis-planethoster.com Port 80

Si demain une faille vient à pointer son nez dans la version 5.2.16 de PHP, les hackeurs feront des scans d’IP sur des ranges et demanderont le x-powered-by et ci celui-ci est faible vous serez attaqué.

Maintenant il est bon de cacher ces informations car, entre nous, cela ne sert à rien qu’elles soient affichées en public.

Connectez vous en SSH :

nano /etc/httpd/conf/httpd.conf

et modifiez les valeurs suivant :

ServerSignature Off
ServerTokens Prod

Et redémarrez le service :

/etc/init.d/httpd restart

Puis rendez-vous dans le WHM

Sous l’onglet « Service Configuration » ->  « PHP Configuration Editor »  et passez en « Advanced View »

Et regardez si vous avez un expose_php si oui, passez le à Off

Voila, votre serveur est un peu moins verbeux à tout le grand public qui se trouve connecté à internet.

 

Laisser un commentaire

*