Cómo ocultar la versión Apache y PHP de los encabezados HTTP

Cómo ocultar la versión Apache y PHP de los encabezados HTTP

Cuando ejecuta un sitio web o aplicación web, es esencial mantener la seguridad y la integridad de su servidor. Uno de los pasos más simples pero más importantes es ocultar la información de su versión de Apache y PHP de los encabezados HTTP. Por defecto, esta información se expone en los encabezados de respuesta HTTP, lo que puede hacer que su servidor sea más vulnerable a los ataques.

En este artículo, le mostraremos cómo ocultar la información de la versión de Apache y PHP de los encabezados HTTP para mejorar la seguridad de su servidor.

Paso 1: Comprender los riesgos de las versiones expuestas

Exponer la información de la versión de Apache y PHP puede no parecer un riesgo de seguridad significativo. Sin embargo, puede facilitar a los piratas informáticos identificar vulnerabilidades conocidas específicas para esas versiones. Al ocultar esta información, está reduciendo la posibilidad de ataques específicos y potencialmente ralentizando el progreso de un atacante.

Paso 2: Verifique los detalles del encabezado

Puede usar el comando curl o wget para obtener los detalles del encabezado de cualquier sitio web a través de la línea de comandos.

wget --server-resesponse --spider http: // su dominio.com/índice.php  

Tenga en cuenta los detalles anteriores y guárdelos para comparar más tarde. Sigamos los pasos para ocultar detalles.

Paso 3: Ocultar información de la versión Apache

Para ocultar la información de la versión Apache, debe modificar su archivo de configuración principal, típicamente ubicado en "/etc/httpd/conf/httpd.conf "o"/etc/apache2/conf-habilitado/seguridad.conf ”, dependiendo de su sistema.

  1. Abra el archivo de configuración de Apache con un editor de texto, como Nano o VI:
    sudo nano/etc/httpd/conf/httpd.confusión  ## Sistemas Redhat  sudo nano/etc/apache2/conf-habilitado/seguridad.confusión  ## Sistemas Debian  
  2. Localizar el "Servertokens" y "Servidor de la Significación" directivas. Si no existen, agrégalos al archivo. Actualice estas directivas de la siguiente manera: Servvertekens Prod ServerSignature Off
    12Servertokens prodServersignature Off

    El "Prodinverkens prod" Directiva le dice a Apache que solo muestre la palabra "Apache" Sin ninguna información de versión. El "Servidor de laignatura" La directiva deshabilita la firma del servidor en páginas de error.

  3. Guardar y cerrar el archivo de configuración. Después de modificar el archivo de configuración, debe reiniciar Apache para que los cambios entren en vigencia:
    sudo systemctl reiniciar httpd  ## Sistemas Redhat  sudo systemctl reiniciar apache2  ## Sistemas Debian  

Paso 4: Información de la versión PHP ocultando

Para ocultar la información de la versión PHP, debe modificar el archivo de configuración de PHP, generalmente llamado PHP.ini, que se puede encontrar en diferentes ubicaciones dependiendo de su sistema.

  1. Abre el php.ini Archivo con un editor de texto:
    sudo nano/etc/php/7.4/apache2/php.ini  

    Reemplazar "7.4 " con tu versión de PHP si es diferente.

  2. Localizar el "Expose_php" directiva. Si no existe, agrégalo al archivo. Actualizar esta directiva de la siguiente manera: Expose_Php = Off
    1expose_php = apagado

    Esta configuración deshabilita exponer la versión PHP en los encabezados de respuesta HTTP.

    Guardar y cerrar el archivo de configuración.

  3. Después de editar el PHP.Archivo INI, reinicie el servicio Apache para que los cambios entren en vigencia:
    sudo systemctl reiniciar httpd  ## Sistemas Redhat  sudo systemctl reiniciar apache2  ## Sistemas Debian  

Paso 5: Verificar los cambios

Para verificar que los cambios se hayan aplicado correctamente, puede usar un verificador de encabezado HTTP en línea o una herramienta de línea de comandos como Curl:

wget --server-resesponse --spider http: // su dominio.com/índice.php  

Reemplazar "Tu dominio.com " con tu dominio real. La salida no debe contener ninguna información de la versión de Apache o PHP

Consejos de seguridad adicionales

Si bien ocultar la información de la versión de Apache y PHP es un buen punto de partida, hay otros pasos que puede seguir para mejorar la seguridad de su servidor:

  1. Mantenga su software actualizado: Actualice regularmente su sistema operativo, Apache, PHP y cualquier otro software que haya instalado. Esto asegura que tenga los últimos parches y correcciones de seguridad.
  2. Deshabilitar módulos no utilizados: Solo habilite los módulos Apache y PHP que necesita para su aplicación web. Desactivar módulos innecesarios reduce la superficie de ataque.
  3. Configurar permisos de acceso estrictos: Asegúrese de que los archivos y directorios confidenciales tengan permisos de acceso estrictos, evitando el acceso no autorizado.
  4. Implementar un firewall de aplicación web (WAF): Un WAF puede ayudar a proteger su aplicación web de ataques comunes como inyección SQL y secuencias de comandos entre sitios (XSS).
  5. Use https: Cifre la comunicación entre su servidor y los clientes habilitando HTTPS con un certificado SSL válido.

Conclusión

Ocultar la información de la versión de Apache y PHP de los encabezados HTTP es un paso simple pero crucial para asegurar su servidor web. Al ocultar esta información, hace que sea más difícil para los atacantes apuntar a vulnerabilidades conocidas en su software. Junto con las actualizaciones regulares de software, los permisos de acceso estrictos y otras medidas de seguridad, puede reducir significativamente la exposición de su servidor a posibles ataques.