Cacher la version de php utilisée par un Serveur Web

Par Seb, publié le 15 octobre 2007

Voici une petite astuce qui permet de cacher la version de php utilisée par un serveur web, afin de donner le moins d'informations possible à d'éventuels hackers informatiques.

Sous Linux, la commande curl permet d'obtenir des informations sur les en-têtes HTTP (headers) et peuvent permettre de connaître la version de php utilisée :

# curl -I www.tux-planet.fr
HTTP/1.1 200 OK
Date: Fri, 12 Oct 2007 22:36:42 GMT
Server: Apache
X-Powered-By: PHP/5.2.4
Vary: Host
Content-Type: text/html

Pour cacher la version de php, il suffit de mettre l'option expose_php à off dans le fichier php.ini :

expose_php = Off

Ce qui donnera :

# curl -I www.tux-planet.fr
HTTP/1.1 200 OK
Date: Fri, 12 Oct 2007 22:36:42 GMT
Server: Apache
Vary: Host
Content-Type: text/html

12 Commentaires pour "Cacher la version de php utilisée par un Serveur Web"

Flux des commentaires de cet article Ajouter un commentaire

@NiCoS : pour apache, j'ai déjà traité le sujet ici :
Cacher la version d'un serveur web Apache

Répondre

pti-seb , le 15 octobre 2007 à 22:09
Merci pour l'astuce !

Répondre

Perceval , le 15 octobre 2007 à 21:07
Tu peux aussi cacher les infos d'apache via ServerToken Prod et ServerSignature Off

Répondre

NiCoS , le 15 octobre 2007 à 22:06
Oups, avais pas vu

Répondre

NiCoS , le 15 octobre 2007 à 22:16
Je profite que je suis en train de remonter un serveur Web pour appliquer tes préconisations ;-).

Répondre

llaumgui , le 16 octobre 2007 à 09:23
La sécurité par l'obscurité c'est mal

Ah oui et tant qu'a pinailler, un hacker n'est pas un pirate
jargonf.org/wiki/hacker

Répondre

JJL , le 16 octobre 2007 à 13:54
C'est sûr que cacher un numéro de version, e n'est pas faire de la sécurité et on optera de préférence pour la mise à jour régulière des logiciels.

Néanmoins, cacher ce genre d'information, rend la tâche toujours plus compliqué pour un ~~hacker~~ pirate.

Répondre

pti-seb , le 16 octobre 2007 à 14:14
Et merde ! Et moi qui croyais que tu parlais de mettre en cache une partie du PHP....
Genre précompilation comme en futur PHP 6
Tant pis pour moi

Répondre

spawnrider , le 22 novembre 2007 à 00:05
Super !
On place ça dans php.ini donc ?

Répondre

Energy , le 1 décembre 2007 à 20:08
@Energy : relit bien l'article, j'ai précisé que c'était bien une option à mettre dans le fichier php.ini.

Répondre

pti-seb , le 2 décembre 2007 à 13:28
Tu l'as pas laissé pour ton site
Répondre

zoroo , le 3 janvier 2009 à 16:46
@zoroo : je suis actuellement sur un serveur mutualisé, et c'est pas moi qui le gère. Sinon j'aurais caché la version, tu pense bien.
Répondre

pti-seb , le 3 janvier 2009 à 18:46

Comment nous remercier ?

Faites une donation libre (minimum 2€) à Tux-planet pour nous soutenir :

Nous avons reçu un total de 4 donations depuis Mai 2012.

A propos

Créé en 2005, Tux-planet est un site qui a pour ambition de regrouper des articles sur Linux et le monde des logiciels libres. Lire la suite ...

Dernières réactions
(S'abonner ...)

lorenriccie: Parfait dans linux avec grab-x-link.el pour capturer un lien org-mode de la dernière fenêtre web ouverte...
Antonin: Merci de ce beau récit que je découvre après 8 jours passés dans la cité alchimique. dommage car vous...
PigeonMalin: Superbe, merci pour l’article. Je ne me lasserai jamais de ces paysages !
Seb.C: Pour info sous alpine c’est setup-keymap et il suffit de se laisser guider. ça résiste à la déco
lisin: Merci beaucoup