Меньше знают посторонние, лучше спите Вы. В заголовке ответа веб-сервера присутствует открытая для всех информация о версиях установленного программного обеспечения. Обладая подобными данными злоумышленники могут эксплуатировать уязвимости конкретных версий серверного ПО. Это может касаться не только старых версий, но и уязвимостей для которых еще не выпущены исправления, уязвимостей нулевого дня. И это проще чем Вам кажется. Всю работу на поиск и эксплантацию дыр в современном мире делают не люди в черных балахонах и белых масках, скрупулёзно изучающие Ваш веб-сервер, а автоматизированные системы с тупым перебором по заранее подготовленным спискам из тысячи сайтов. И если вы думаете «кому мы нужны», то сильно ошибаетесь. К примеру shodan.io, поисковая система, которая позволяет пользователю находить компьютеры определенного типа, подключенные к Интернету, покажет что же у Вас под капотом, останется лишь применить эксплоит. Скрыть версию PHP и Nginx элементарно. Приступим.
Как скрыть отображение версии Nginx
Убедимся в публичном отображении номера версии веб-сервера Nginx.
root@webserver:~# curl -I 127.0.0.1 HTTP/1.1 200 OK Server: nginx/1.18.0 (Ubuntu) Date: Tue, 16 Mar 2021 18:59:54 GMT Content-Type: text/html; charset=UTF-8 Connection: keep-alive
Теперь необходимо в главный конфигурационный файл настроек Nginx (nginx.conf) внести следующую строку в блок http{…} и выполнить перезагрузку веб-сервера.
server_tokens off;
Как скрыть отображение версии PHP
Для того чтобы скрыть отображение версии PHP в заголовке ответа веб сервера, необходимо в конфигурационном файле php.ini изменить строку указанную ниже, перезагружаем PHP-FPM и заголовок X-Powered-By больше не виден.
expose_php = Off
