Evita divulgar informacion de Apache y PHP

Jueves, 05 Agosto 2010
Aplica a: Apache 1.3.x / Apache 2.0.x
Módulo de Apache requerido: mod-php4/mod-php5
Objetivo: php.ini
Tipo: seguridad
Acceso: requiere acceso root

Este truco es útil para evitar divulgar información innecesaria sobre la versión de PHP instalada en el servidor. Si existe una versión de PHP vulnerable instalada en el servidor, un posible atacante podría darse cuenta de esta información para perpetrar su ataque más fácil y rápidamente.

Estos sencillos pasos te enseñarán cómo suprimir el aviso de PHP:

X-Powered-By: PHP/(versión aquí)

1. Localiza el archivo php.ini. Dependiendo de tu sistema, este archivo puede estar en rutas como estas:

/etc/php.ini
/usr/bin/php.ini
/usr/local/bin/php.ini
/etc/php5/apache2/php.ini
/usr/local/Zend/etc/php.ini (si tu sistema tiene Zend Optimizer instalado)

si no sabes dónde se encuentra el archivo, usa este comando:

locate php.ini

2. Una vez lo has ubicado, es conveniente que realices una copia de seguridad del archivo antes de editarlo. Puedes hacerlo muy fácilmente con este comando:

cp php.ini php.ini.bak

De esta manera habrás hecho una copia de ese archivo, en el mismo directorio. Si algo llegara a salir mal, simplemente puedes reversar la operación con este comando:

mv php.ini.bak php.ini

3. Abre el archivo y localiza esta línea:

expose_php On

Y entonces la dejas de este modo:

expose_php = Off

Guardas los cambios y sales del archivo.

4. Reinicia el servidor Apache para que te tome este cambio.


Eso es todo. Después de hacer este cambio, PHP no agregará su firma (signature) a las cabeceras (header) del servidor web. Esto no hará que tu servidor sea más seguro, simplemente evitará que mediante acceso remoto alguien pueda darse cuenta que PHP está instalado en el servidor y su versión.

One&One

SEMrush

Visitanos en: