Cacher la version de php utilisée par un Serveur Web

Par Sébastien Bilbeau, publié le 15 octobre 2007

Voici une petite astuce qui permet de cacher la version de php utilisée par un serveur web, afin de donner le moins d'informations possible à d'éventuels hackers informatiques.

Sous Linux, la commande curl permet d'obtenir des informations sur les en-têtes HTTP (headers) et peuvent permettre de connaître la version de php utilisée :

# curl -I www.tux-planet.fr
HTTP/1.1 200 OK
Date: Fri, 12 Oct 2007 22:36:42 GMT
Server: Apache
X-Powered-By: PHP/5.2.4
Vary: Host
Content-Type: text/html

Pour cacher la version de php, il suffit de mettre l'option expose_php à off dans le fichier php.ini :

expose_php = Off

Ce qui donnera :

# curl -I www.tux-planet.fr
HTTP/1.1 200 OK
Date: Fri, 12 Oct 2007 22:36:42 GMT
Server: Apache
Vary: Host
Content-Type: text/html

Autres articles du même sujet

Dernières réactions
(S'abonner ...)

Manoelle: Une sacré visite en ligne. Moi qui suis à la recherche d’une destination maintenant qu’on ne...

Joël: @samy : Est-ce que tu as suivi la procédure que j’ai décrite le 26/2/14 ?

samy: Bonjour, Je suis complètement désespérée… Depuis deux jours, mon Nexus 4 est dans le coma….....

josh: Merci mille fois la première idée ne marchait pas mais la deuxième a réussi!!! Merci beaucoup

Max87: J’arrive tard par rapport aux commentaires et à la date du post mais la preuve que ca sert toujours!...

12 Commentaires pour "Cacher la version de php utilisée par un Serveur Web"

Flux des commentaires de cet article Ajouter un commentaire

@NiCoS : pour apache, j'ai déjà traité le sujet ici :
Cacher la version d'un serveur web Apache

Répondre

pti-seb , le 15 octobre 2007 à 22:09
Merci pour l'astuce !

Répondre

Perceval , le 15 octobre 2007 à 21:07
Tu peux aussi cacher les infos d'apache via ServerToken Prod et ServerSignature Off

Répondre

NiCoS , le 15 octobre 2007 à 22:06
Oups, avais pas vu

Répondre

NiCoS , le 15 octobre 2007 à 22:16
Je profite que je suis en train de remonter un serveur Web pour appliquer tes préconisations ;-).

Répondre

llaumgui , le 16 octobre 2007 à 09:23
La sécurité par l'obscurité c'est mal

Ah oui et tant qu'a pinailler, un hacker n'est pas un pirate
jargonf.org/wiki/hacker

Répondre

JJL , le 16 octobre 2007 à 13:54
C'est sûr que cacher un numéro de version, e n'est pas faire de la sécurité et on optera de préférence pour la mise à jour régulière des logiciels.

Néanmoins, cacher ce genre d'information, rend la tâche toujours plus compliqué pour un ~~hacker~~ pirate.

Répondre

pti-seb , le 16 octobre 2007 à 14:14
Et merde ! Et moi qui croyais que tu parlais de mettre en cache une partie du PHP....
Genre précompilation comme en futur PHP 6
Tant pis pour moi

Répondre

spawnrider , le 22 novembre 2007 à 00:05
Super !
On place ça dans php.ini donc ?

Répondre

Energy , le 1 décembre 2007 à 20:08
@Energy : relit bien l'article, j'ai précisé que c'était bien une option à mettre dans le fichier php.ini.

Répondre

pti-seb , le 2 décembre 2007 à 13:28
Tu l'as pas laissé pour ton site
Répondre

zoroo , le 3 janvier 2009 à 16:46
@zoroo : je suis actuellement sur un serveur mutualisé, et c'est pas moi qui le gère. Sinon j'aurais caché la version, tu pense bien.
Répondre

pti-seb , le 3 janvier 2009 à 18:46