Para dificultar um pouco mais os hackers, devemos como boa prática desabilitar algumas informações do header do Apache.
Por padrão o header mostra a versão do apache, do PHP e outras coisas mais …
|
1 2 3 4 5 6 |
Response < HTTP/1.1 301 Moved Permanently < Date: Thu, 07 May 2020 13:50:11 GMT < Server: Apache/2.4.6 (CentOS) mpm-itk/2.4.7-04 OpenSSL/1.0.2k-fips PHP/5.4.16 < Content-Length: 233 < Content-Type: text/html; charset=iso-8859-1 |
Para desabilitar estas informações no header, devemos editar o arquivo /etc/httpd/conf/httpd.conf (CentOS 7). Caso você use outra distribuição, edite o httpd.conf da sua distribuição.
Adicione as linhas abaixo em qualquer parte do conf.
|
1 2 |
ServerTokens Prod ServerSignature Off |
Reinicie o apache e teste novamente o header. Ele deve aparecer conforme abaixo, na linha Server apenas Apache.
|
1 2 3 4 5 6 |
Response < HTTP/1.1 301 Moved Permanently < Date: Thu, 07 May 2020 13:56:17 GMT < Server: Apache < Content-Length: 239 < Content-Type: text/html; charset=iso-8859-1 |
Outra informação que pode aparecer que não está relacionado ao Apache é da versão do PHP, que aparece assim:
|
1 |
X-Powered-By: PHP/7.3.14 |
Neste caso, para desativar o X-Powerd-By do header você deve mexer no php.ini e alterar a configuração abaixo.
|
1 |
expose_php = Off |
Feito isto, esta informação deixa de ser exibida.
Lembre-se que sempre que mexer na configuração do Apache ou do PHP deve reiniciar o apache para as novas configurações começarem a valer.