Estoy construyendo un sitio web, pero algunas herramientas web y complementos del navegador permiten que cualquier persona obtenga información sobre las tecnologías en las que se ha desarrollado el sitio web. ¿Hay alguna alternativa para no revelar que estamos trabajando en un servidor que procesa php?
No proporcione ninguna información a nadie a menos que sea absolutamente necesario.
Debería establecer expose_php=off en su PHP.ini. Esto le dice a PHP que no exponga el encabezado HTTP "x-powered-by", así como los extraños quarks que se pueden usar para identificarlo. También debe establecer display_errors=Off , que podría usarse para identificar PHP, así como vulnerabilidades basadas en errores como la Inyección de SQL. Estas dos configuraciones deben usarse en todos los sistemas de producción. Puede ir un paso más allá y eliminar o cambiar la extensión .php con mod_rewrite.
Esto está en la misma línea que la "divulgación de información de banner", que revela información de versión a través de banners de servicio. Debería poder configurar su HTTPD para suprimir esta información. En un entorno de producción de Apache, establezca ServerTokens ProductOnly (gracias tftd). Pero esto solo eliminará el número de versión, si desea eliminar la palabra "apache" debe usar mod_security.
También puedes mentir > :). Puede usar mod_header para establecer cualquier encabezado, incluido un falso x-powered-by , y simplemente adoptar las extensiones de archivo .aspx usando mod_rewrite.
Puede lograr un poco más de seguridad a través de la oscuridad al ajustar también los siguientes valores:
php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_value docref_root 0
php_value docref_ext 0
Puede encontrar algunos buenos consejos aquí:
Lea otras preguntas en las etiquetas web-application disclosure webserver