Cacher la version de php utilisée par un Serveur Web

Par Seb, publié le 15 octobre 2007

Voici une petite astuce qui permet de cacher la version de php utilisée par un serveur web, afin de donner le moins d'informations possible à d'éventuels hackers informatiques.

Sous Linux, la commande curl permet d'obtenir des informations sur les en-têtes HTTP (headers) et peuvent permettre de connaître la version de php utilisée :

# curl -I www.tux-planet.fr
HTTP/1.1 200 OK
Date: Fri, 12 Oct 2007 22:36:42 GMT
Server: Apache
X-Powered-By: PHP/5.2.4
Vary: Host
Content-Type: text/html

Pour cacher la version de php, il suffit de mettre l'option expose_php à off dans le fichier php.ini :

expose_php = Off

Ce qui donnera :

# curl -I www.tux-planet.fr
HTTP/1.1 200 OK
Date: Fri, 12 Oct 2007 22:36:42 GMT
Server: Apache
Vary: Host
Content-Type: text/html

12 Commentaires pour "Cacher la version de php utilisée par un Serveur Web"

Flux des commentaires de cet article Ajouter un commentaire

@NiCoS : pour apache, j'ai déjà traité le sujet ici :
Cacher la version d'un serveur web Apache

Répondre

pti-seb , le 15 octobre 2007 à 22:09
Merci pour l'astuce !

Répondre

Perceval , le 15 octobre 2007 à 21:07
Tu peux aussi cacher les infos d'apache via ServerToken Prod et ServerSignature Off

Répondre

NiCoS , le 15 octobre 2007 à 22:06
Oups, avais pas vu

Répondre

NiCoS , le 15 octobre 2007 à 22:16
Je profite que je suis en train de remonter un serveur Web pour appliquer tes préconisations ;-).

Répondre

llaumgui , le 16 octobre 2007 à 09:23
La sécurité par l'obscurité c'est mal

Ah oui et tant qu'a pinailler, un hacker n'est pas un pirate
jargonf.org/wiki/hacker

Répondre

JJL , le 16 octobre 2007 à 13:54
C'est sûr que cacher un numéro de version, e n'est pas faire de la sécurité et on optera de préférence pour la mise à jour régulière des logiciels.

Néanmoins, cacher ce genre d'information, rend la tâche toujours plus compliqué pour un ~~hacker~~ pirate.

Répondre

pti-seb , le 16 octobre 2007 à 14:14
Et merde ! Et moi qui croyais que tu parlais de mettre en cache une partie du PHP....
Genre précompilation comme en futur PHP 6
Tant pis pour moi

Répondre

spawnrider , le 22 novembre 2007 à 00:05
Super !
On place ça dans php.ini donc ?

Répondre

Energy , le 1 décembre 2007 à 20:08
@Energy : relit bien l'article, j'ai précisé que c'était bien une option à mettre dans le fichier php.ini.

Répondre

pti-seb , le 2 décembre 2007 à 13:28
Tu l'as pas laissé pour ton site
Répondre

zoroo , le 3 janvier 2009 à 16:46
@zoroo : je suis actuellement sur un serveur mutualisé, et c'est pas moi qui le gère. Sinon j'aurais caché la version, tu pense bien.
Répondre

pti-seb , le 3 janvier 2009 à 18:46

Comment nous remercier ?

Faites une donation libre (minimum 2€) à Tux-planet pour nous soutenir :

Nous avons reçu un total de 4 donations depuis Mai 2012.

A propos

Créé en 2005, Tux-planet est un site qui a pour ambition de regrouper des articles sur Linux et le monde des logiciels libres. Lire la suite ...

Dernières réactions
(S'abonner ...)

blarginator blargin: Bonjour j’aimerais savoir si il est bien de mettre ma base dans le biome des herbes rouges...
ta maman: @gtv59 : t’inquiète frèro nous aussi on va douiller
CHACAL: @gtv59 : TKT CHACAL
MedyOsef: Merci beaucoup
Scrat65: Bonjour, Merci pour cet article. La commande dcfldd n’est pas (plus ?) dans SystemRescueCD. Voir la...