Cacher la version de php utilisée par un Serveur Web


logo php
Voici une petite astuce qui permet de cacher la version de php utilisée par un serveur web, afin de donner le moins d'informations possible à d'éventuels hackers informatiques.

Sous Linux, la commande curl permet d'obtenir des informations sur les en-têtes HTTP (headers) et peuvent permettre de connaître la version de php utilisée :

# curl -I www.tux-planet.fr
HTTP/1.1 200 OK
Date: Fri, 12 Oct 2007 22:36:42 GMT
Server: Apache
X-Powered-By: PHP/5.2.4
Vary: Host
Content-Type: text/html

Pour cacher la version de php, il suffit de mettre l'option expose_php à off dans le fichier php.ini :

expose_php = Off

Ce qui donnera :

# curl -I www.tux-planet.fr
HTTP/1.1 200 OK
Date: Fri, 12 Oct 2007 22:36:42 GMT
Server: Apache
Vary: Host
Content-Type: text/html


12 Commentaires pour "Cacher la version de php utilisée par un Serveur Web"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    @NiCoS : pour apache, j'ai déjà traité le sujet ici :
    Cacher la version d'un serveur web Apache

    RépondreRépondre
    pti-seb , le 15 octobre 2007 à 22:09
  •  

    Merci pour l'astuce !

    RépondreRépondre
    Perceval , le 15 octobre 2007 à 21:07
  •  

    Tu peux aussi cacher les infos d'apache via ServerToken Prod et ServerSignature Off ;-)

    RépondreRépondre
    NiCoS , le 15 octobre 2007 à 22:06
  •  

    Oups, avais pas vu ;-)

    RépondreRépondre
    NiCoS , le 15 octobre 2007 à 22:16
  •  

    Je profite que je suis en train de remonter un serveur Web pour appliquer tes préconisations ;-).

    RépondreRépondre
    llaumgui , le 16 octobre 2007 à 09:23
  •  

    La sécurité par l'obscurité c'est mal :)

    Ah oui et tant qu'a pinailler, un hacker n'est pas un pirate
    jargonf.org/wiki/hacker

    RépondreRépondre
    JJL , le 16 octobre 2007 à 13:54
  •  

    C'est sûr que cacher un numéro de version, e n'est pas faire de la sécurité et on optera de préférence pour la mise à jour régulière des logiciels.

    Néanmoins, cacher ce genre d'information, rend la tâche toujours plus compliqué pour un hacker pirate.

    RépondreRépondre
    pti-seb , le 16 octobre 2007 à 14:14
  •  

    Et merde ! Et moi qui croyais que tu parlais de mettre en cache une partie du PHP....
    Genre précompilation comme en futur PHP 6 ;)
    Tant pis pour moi

    RépondreRépondre
    spawnrider , le 22 novembre 2007 à 00:05
  •  

    Super !
    On place ça dans php.ini donc ?

    RépondreRépondre
    Energy , le 1 décembre 2007 à 20:08
  •  

    @Energy : relit bien l'article, j'ai précisé que c'était bien une option à mettre dans le fichier php.ini.

    RépondreRépondre
    pti-seb , le 2 décembre 2007 à 13:28
  •  

    Tu l'as pas laissé pour ton site :)

    RépondreRépondre
    zoroo , le 3 janvier 2009 à 16:46
  •  

    @zoroo : je suis actuellement sur un serveur mutualisé, et c'est pas moi qui le gère. Sinon j'aurais caché la version, tu pense bien.

    RépondreRépondre
    pti-seb , le 3 janvier 2009 à 18:46
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité redhat red hat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum