Cómo ocultar el número de versión PHP en el encabezado HTTP
- 3949
- 1062
- Eduardo Tapia
La configuración de PHP, de forma predeterminada, permite el encabezado de respuesta HTTP del servidor 'X-Powered-by'Para mostrar la versión PHP instalada en un servidor.
Por razones de seguridad del servidor (aunque no es una amenaza importante de la que preocuparse), se recomienda que deshabilite u oculte esta información de los atacantes que podrían estar dirigidos a su servidor al querer saber si está ejecutando PHP o no.
Suponiendo que una versión particular de PHP instalada en su servidor tiene agujeros de seguridad, y por el otro lado, los atacantes lo saben, será mucho más fácil para ellos explotar las vulnerabilidades y obtener acceso al Severs a través de los scripts.
En mi artículo anterior, he mostrado cómo ocultar el número de versión de Apache, donde ha visto cómo apagar la versión instalada de Apache. Pero si está ejecutando PHP en su servidor web Apache, también necesita ocultar la versión instalada de PHP, y esto es lo que mostramos en este artículo.
Por lo tanto, en esta publicación, explicaremos cómo ocultar o apagar mostrando el número de versión de PHP en el encabezado de respuesta HTTP del servidor.
Esta configuración se puede configurar en el archivo de configuración de PHP cargado. En caso de que no conozca la ubicación de este archivo de configuración en su servidor, ejecute el comando a continuación para encontrarlo:
$ php -i | GREP "Archivo de configuración cargado"Ubicación del archivo de configuración de PHP
---------------- En Centos/Rhel/Fedora ---------------- Archivo de configuración cargado => /etc /php.ini ---------------- En Debian/Ubuntu/Linux Mint ---------------- Archivo de configuración cargado =>/etc/php/7.0/CLI/PHP.ini
Antes de realizar cualquier cambio en el archivo de configuración de PHP, le sugiero que primero realice una copia de seguridad de su archivo de configuración PHP de la misma manera:
---------------- En Centos/Rhel/Fedora ---------------- $ sudo cp /etc /php.ini /etc /php.ini.oriente ---------------- En Debian/Ubuntu/Linux Mint ---------------- $ sudo cp/etc/php/7.0/CLI/PHP.ini/etc/php/7.0/CLI/PHP.ini.oriente
Luego, abra el archivo usando su editor favorito con privilegios de super usuario como así:
---------------- En Centos/Rhel/Fedora ---------------- $ sudo vi /etc /php.ini ---------------- En Debian/Ubuntu/Linux Mint ---------------- $ sudo vi/etc/php/7.0/CLI/PHP.ini
Localizar la palabra clave expose_php
y establecer su valor en Apagado:
expose_php = apagado
Guarda el archivo y cierra. Posteriormente, reinicie el servidor web de la siguiente manera:
---------------- En Systemd ---------------- $ sudo systemctl reiniciar httpd $ sudo systemctl reiniciar apache2 ---------------- Sysvinit ---------------- $ sudo service httpd reiniciar $ sudo service apache2 reiniciar
Por último, pero no menos importante, verifique si el encabezado de respuesta HTTP del servidor todavía muestra su número de versión PHP usando el comando a continuación.
$ lynx -head -mime_header http: // localhost o $ lynx -head -mime_header http: // servidor -address
Donde las banderas:
-cabeza
- Envía una solicitud principal de los encabezados MIME.-mime_header
- Imprime el encabezado MIME de un documento obtenido junto con su fuente.
Nota: Asegúrese de tener el navegador web Lynx - línea de comandos instalado en su sistema.
Eso es todo! En este artículo, explicamos cómo ocultar el número de versión de PHP en el encabezado de respuesta HTTP del servidor para asegurar un servidor web de posibles ataques. Puede agregar una opinión a esta publicación o tal vez hacer cualquier pregunta relacionada a través del formulario de comentarios a continuación.
- « Deshabilitar la lista de directorio web Apache utilizando .archivo htaccess
- Cómo manipular los nombres de archivo que tienen espacios y caracteres especiales en Linux »