Attention, cet article a plus d'une année d'ancienneté. Il est possible que les informations présentées ne soient plus à jour, spécialement dans le cadre d'un article technique.
Bonjour à tous,
Dans ce court article, on va voir comment cacher sa version de php aux yeux du monde, notamment pour se protéger d’éventuels hackeurs qui miseraient sur une faille relative à une version spécifique du moteur php.
Sachez, pour votre gouverne personnelle que votre version de php, si vous ne suivez pas cette astuce est transmise dans chaque header http qui est envoyé par votre site, ce qui fait que c’est vraiment publique, et que vraiment tout le monde peut le voir.
Pour changez, localisez votre fichier php.ini, et faites un coup de nano dessus pour l’éditer :
nano /etc/php5/cgi/php.ini
Ensuite, allez à la ligne 431 et localisez cette portion de code ( ou un petit Ctrl + W ) :
;;;;;;;;;;;;;;;;; ; Miscellaneous ; ;;;;;;;;;;;;;;;;; ; Decides whether PHP may expose the fact that it is installed on the server ; (e.g. by adding its signature to the Web server header). It is no security ; threat in any way, but it makes it possible to determine whether you use PHP ; on your server or not. ; http://php.net/expose-php expose_php = On
Et la, remplacez le expose_php = On par un Off, ce qui vous donnera
;;;;;;;;;;;;;;;;; ; Miscellaneous ; ;;;;;;;;;;;;;;;;; ; Decides whether PHP may expose the fact that it is installed on the server ; (e.g. by adding its signature to the Web server header). It is no security ; threat in any way, but it makes it possible to determine whether you use PHP ; on your server or not. ; http://php.net/expose-php expose_php = Off
Exemple d’un header transmis par The Abyss Project :
Response Headers
status | HTTP/1.1 200 OK |
date | Tue, 23 Apr 2013 07:26:11 GMT |
server | Apache/2.2.16 (Debian) |
x-pingback | http://www.abyssproj ect.net/xmlrpc.php |
vary | Accept-Encoding |
content-encoding | gzip |
content-length | 10727 |
connection | close |
content-type | text/html; charset=UTF-8 |
On voit bien que la version de php n’est pas transmise !