Sicherheit++: Anderen nicht anzeigen, ob der Webserver PHP verwendet

von | 10.10.2012 | Tipps

Den eigenen Webserver verwalten? Dann sollten Sie sich unbedingt auch Gedanken über die Sicherheit machen. Potenzielle Angreifer müssen zum Beispiel nicht wissen, welche Software auf Ihrem Server im Einsatz ist. Denn je weniger Informationen Angreifer über Ihre Webseite und den Server haben, desto schwieriger wird es, einen Angriff zu planen.

Viele Webseiten sind in der Script-Sprache PHP programmiert. Dass eine Internetseite mit PHP läuft, ist meist an einer Kopfzeile zu erkennen, die bei jedem Seiten-Aufruf mitgeschickt wird. Sehen Sie sich dazu dieses Bild an:

Sie können diese Kopfzeile unterdrücken – und so weniger Informationen über Ihren Server preisgeben, die andere schlicht nichts angehen. Dazu verbinden Sie sich mit dem Server (zum Beispiel über SSH). Dann laden Sie die zentrale Einstellungs-Datei „php.ini“ in einem Editor. Wie das genau geht, hängt vom Betriebssystem Ihres Servers ab. Bei Ubuntu klappt es mit dem Befehl nano /etc/php5/apache2/php.ini.

Ändern Sie dann die Zeile expose_php = on auf expose_php = off.

Speichern Sie die Datei, und starten Sie den Webserver-Dienst neu. Bei Ubuntu nutzen Sie dafür beispielsweise das Kommando service apache2 reload. Ab sofort wird die PHP-Kopfzeile bei Anfragen nicht mehr mitgesendet.

Schieb App