No proporcione ninguna información a nadie a menos que sea absolutamente necesario.
Debería establecer expose_php=off
en su PHP.ini. Esto le dice a PHP que no exponga el encabezado HTTP "x-powered-by", así como los extraños quarks que se pueden usar para identificarlo. También debe establecer display_errors=Off
, que podría usarse para identificar PHP, así como vulnerabilidades basadas en errores como la Inyección de SQL. Estas dos configuraciones deben usarse en todos los sistemas de producción. Puede ir un paso más allá y eliminar o cambiar la extensión .php con mod_rewrite.
Esto está en la misma línea que la "divulgación de información de banner", que revela información de versión a través de banners de servicio. Debería poder configurar su HTTPD para suprimir esta información. En un entorno de producción de Apache, establezca ServerTokens ProductOnly
(gracias tftd). Pero esto solo eliminará el número de versión, si desea eliminar la palabra "apache" debe usar mod_security.
También puedes mentir > :). Puede usar mod_header para establecer cualquier encabezado, incluido un falso x-powered-by
, y simplemente adoptar las extensiones de archivo .aspx usando mod_rewrite.