Sie wollen Ihren Webserver besser absichern? Wenn Sie für Ihre Website die Skriptsprache PHP einsetzen, wird standardmäßig mit jeder Anfrage die Versionsnummer von PHP als Antwort mitgesendet. Mögliche Angreifer können daraus schließen, welche Sicherheitslücken auf Ihrem Server eventuell für bösartige Zwecke nutzbar sind. Wer das nicht will, sollte die Angabe der Version unterdrücken.
Dass Ihr Webserver sich über die verwendete PHP-Version ausschweigt, dafür sorgt die Einstellung expose_php. Wird sie ausgeschaltet, verschwindet die entsprechende Headerzeile „X-Powered-By: PHP …“ aus den HTTP-Antworten des Servers. Die Einstellung können Sie allerdings nur setzen, wenn Sie root-Zugriff auf Ihren Server haben.
- Laden Sie dazu die Datei php.ini in den Editor. Wo sie genau liegt, hängt vom Server ab. Den Pfad können Sie mit dem Befehl „php -i | grep php.ini“ ablesen.
- Suchen Sie nach „expose_php“. Sie finden eine Zeile, die mit diesem Begriff anfängt.
- Setzen Sie den Wert der Einstellung auf off.
- Falls ganz am Anfang der Zeile ein Semikolon steht, entfernen Sie es, damit die Einstellung wirksam wird.
- Jetzt die geänderte php.ini speichern und den Webserver (meist Apache) per Befehl „/etc/init.d/apache2 reload“ neu starten.
