Keamanan

Cara menyembunyikan versi apache dan php dari header http

Cara menyembunyikan versi apache dan php dari header http

Saat Anda menjalankan situs web atau aplikasi web, penting untuk menjaga keamanan dan integritas server Anda. Salah satu langkah paling sederhana namun terpenting adalah menyembunyikan informasi versi Apache dan PHP Anda dari header HTTP. Secara default, informasi ini diekspos di header respons HTTP, berpotensi membuat server Anda lebih rentan terhadap serangan.

Di artikel ini, kami akan menunjukkan kepada Anda cara menyembunyikan informasi versi Apache dan PHP dari header HTTP untuk meningkatkan keamanan server Anda.

Langkah 1: Memahami risiko versi yang terpapar

Mengekspos informasi versi Apache dan PHP mungkin tidak tampak seperti risiko keamanan yang signifikan. Namun, dapat memudahkan peretas untuk mengidentifikasi kerentanan yang diketahui khusus untuk versi -versi tersebut. Dengan menyembunyikan informasi ini, Anda mengurangi kemungkinan serangan yang ditargetkan dan berpotensi memperlambat kemajuan penyerang.

Langkah 2: Periksa detail header

Anda dapat menggunakan perintah CURL atau WGET untuk mengambil detail header situs web apa pun melalui baris perintah.

wget --sver-response-spider http: // domain Anda.com/index.php

Perhatikan detail di atas dan simpan untuk perbandingan nanti. Mari ikuti langkah -langkah untuk menyembunyikan detail.

Langkah 3: Menyembunyikan informasi versi Apache

Untuk menyembunyikan informasi versi Apache, Anda perlu memodifikasi file konfigurasi utamanya, biasanya terletak di “/etc/httpd/conf/httpd.conf "atau"/etc/apache2/conf-enabled/security.conf ”, tergantung pada sistem Anda.

  1. Buka file konfigurasi Apache dengan editor teks, seperti nano atau vi:
    sudo nano/etc/httpd/conf/httpd.conf  ## Sistem Redhat  sudo nano/etc/apache2/conf-enabled/security.conf  ## Sistem Debian
  2. Temukan "Servertokens" Dan “Server Signature” arahan. Jika tidak ada, tambahkan ke file. Perbarui arahan ini sebagai berikut: ServerSignature Prod Servertokens Off
    12Servertokens ProdserVerSignature Off

    Itu “Servertokens Prod” Petunjuk memberitahu Apache untuk hanya menampilkan kata "Apache" Tanpa informasi versi apa pun. Itu “Server Signature Off” Petunjuk menonaktifkan tanda tangan server di halaman kesalahan.

  3. Simpan dan tutup file konfigurasi. Setelah memodifikasi file konfigurasi, Anda perlu memulai kembali Apache agar perubahan berlaku:
    sudo systemctl restart httpd  ## Sistem Redhat  Sudo Systemctl Restart Apache2  ## Sistem Debian

Langkah 4: Menyembunyikan informasi versi PHP

Untuk menyembunyikan informasi versi PHP, Anda perlu memodifikasi file konfigurasi PHP, biasanya disebut PHP.INI, yang dapat ditemukan di lokasi yang berbeda tergantung pada sistem Anda.

  1. Buka php.ini File dengan editor teks:
    sudo nano/etc/php/7.4/apache2/php.ini

    Mengganti “7.4 " dengan versi php Anda jika berbeda.

  2. Temukan “Expose_php” pengarahan. Jika tidak ada, tambahkan ke file. Perbarui arahan ini sebagai berikut: Expose_php = OFF
    1Expose_php = OFF

    Pengaturan ini menonaktifkan mengekspos versi PHP di header respons HTTP.

    Simpan dan tutup file konfigurasi.

  3. Setelah mengedit PHP.File INI, restart layanan Apache agar perubahan berlaku:
    sudo systemctl restart httpd  ## Sistem Redhat  Sudo Systemctl Restart Apache2  ## Sistem Debian

Langkah 5: Memverifikasi perubahan

Untuk memverifikasi bahwa perubahan telah berhasil diterapkan, Anda dapat menggunakan checker header http online atau alat baris perintah seperti curl:

wget --sver-response-spider http: // domain Anda.com/index.php

Mengganti “Domain Anda.com " dengan domain Anda yang sebenarnya. Output tidak boleh berisi informasi versi apache atau php

Tips Keamanan Tambahan

Saat menyembunyikan informasi versi Apache dan PHP adalah titik awal yang baik, ada langkah -langkah lain yang dapat Anda ambil untuk meningkatkan keamanan server Anda:

  1. Teruskan perangkat lunak Anda: Perbarui Sistem Operasi Anda, Apache, PHP, dan perangkat lunak lain yang telah Anda instal. Ini memastikan bahwa Anda memiliki tambalan dan perbaikan keamanan terbaru.
  2. Nonaktifkan modul yang tidak digunakan: Hanya mengaktifkan modul Apache dan PHP yang Anda butuhkan untuk aplikasi web Anda. Menonaktifkan modul yang tidak perlu mengurangi permukaan serangan.
  3. Konfigurasikan izin akses yang ketat: Pastikan bahwa file dan direktori sensitif memiliki izin akses yang ketat, mencegah akses yang tidak sah.
  4. Menerapkan Firewall Aplikasi Web (WAF): WAF dapat membantu melindungi aplikasi web Anda dari serangan umum seperti SQL Injection dan Cross-Site Scripting (XSS).
  5. Gunakan https: Enkripsi komunikasi antara server Anda dan klien dengan mengaktifkan HTTPS dengan sertifikat SSL yang valid.

Kesimpulan

Menyembunyikan informasi versi Apache dan PHP dari header http adalah langkah sederhana namun penting dalam mengamankan server web Anda. Dengan menyembunyikan informasi ini, Anda membuatnya lebih sulit bagi penyerang untuk menargetkan kerentanan yang diketahui dalam perangkat lunak Anda. Ditambah dengan pembaruan perangkat lunak reguler, izin akses yang ketat, dan langkah -langkah keamanan lainnya, Anda dapat secara signifikan mengurangi paparan server Anda terhadap serangan potensial.