Rendre les applications PHP/Apache anonymes

Rendre les applications PHP/Apache anonymes

Quentin C. 27 February 2011

Lorsque vous surfez sur un serveur, celui-ci entre en contact avec et échange des informations avant d’afficher la page.

Par exemple le statut de la page (200,404,500), la date du serveur, compression de la page Gzip , cookies puis server:Apache & x-powered-by:PHP/5.2.16 par exemple ! (voir http://www.gidnetwork.com/tools/gzip-test.php

Apache/2.x.x (Unix) mod_ssl/2.x.x OpenSSL/0.x.x mod_XXX/x.x PHP/5.2.16 Server at blog.avis-planethoster.com Port 80

Si demain une faille vient à pointer son nez dans la version 5.2.16 de PHP, les hackeurs feront des scans d’IP sur des ranges et demanderont le x-powered-by et ci celui-ci est faible vous serez attaqué.

Maintenant il est bon de cacher ces informations car, entre nous, cela ne sert à rien qu’elles soient affichées en public.

Connectez vous en SSH :
nano /etc/httpd/conf/httpd.conf
et modifiez les valeurs suivant :
ServerSignature Off
ServerTokens Prod

Et redémarrez le service :
service httpd restart
Puis rendez-vous dans le WHM

Sous l’onglet “Service Configuration” ->  “PHP Configuration Editor”  et passez en “Advanced View”

Et regardez si vous avez un expose_php si oui, passez le à Off

Voila, votre serveur est un peu moins verbeux à tout le grand public qui se trouve connecté à internet.

 

Leave a Reply

Your email address will not be published.