Allgemeines

Viele Apache Server sind in ihrer Standard Installation sehr freizügig mit der Bekanntgabe von Informationen. Dies betrifft vor allem den X-Powered-By und Server Header. Diese sollten aus Sicherheitsgründen immer deaktiviert bzw. die Ausgabe minimiert werden. Durch die Ausgabe der laufenden PHP oder Apache Version oder welcher Server dahinter steckt, würde man einen Angreifer unnötig in die Hände spielen.

Beispiele

Beispiel eines X-Powered-By Headers der die PHP Version ausgibt

X-Powered-By: PHP/5.4.0

Beispiel eines Servers der anzeigt, dass es sich um eine Plesk Installation handelt

X-Powered-By PleskLin

Der Server Header kann auch einiges verraten

Server: Apache/2.4.7 (Win32) OpenSSL/1.0.1e PHP/5.5.6

Um die Ausgabe zu unterbinden, gibt es mehrere Möglichkeiten.

Apache

Mit dem folgenden Eintrag in der /etc/apache2/httpd.conf (Pfad kann variieren) kann der X-Powered-By Header entfernt werden.

Header unset X-Powered-By

Plesk Server (Version 11)

Um auf einem Plesk Server den X-Powered-By Header auszublenden, muss man etwas anders vorgehen. Hier werden die Config Dateien automatisch generiert.

Eine Variante ist es in der server.php die folgende Zeile auszukommentieren.

In Datei: /usr/local/psa/admin/conf/templates/default/server.php

Zeile ersetzen gegen

#Header add X-Powered-By PleskLin

anschließend mit dem Befehl die Konfiguration neu laden

/usr/local/psa/admin/sbin/httpdmng --reconfigure-all

PHP

Um den Server Header zu hindern die PHP Version auszugeben, muss in der php.ini der folgende Eintrag gesetzt werden.

expose_php = Off