Saltar al contenido

ocultar versión apache y php

7 noviembre, 2019
ocultar version apache php

Ocultar versión para servidor Apache

Existen herramientas para descubrir la versión de Apache que tiene un servidor web que hospeda una página web, de esta manera si tenemos un servidor web nos exponemos a que un posible atacante a nuestra web posea información de posibles vulnerabilidades existentes en nuestra versión de apache.
Cuanta menos información tenga nuestro atacante de nosotros, menos expuestos estaremos en la red, así que vamos a aprender a ocultar nuestra versión de Apache en los sistemas operativos Debian/Ubuntu.

Apache ServerSignature off

El servidor de apache tiene un archivo de configuración donde se encuentran todas las directivas de funcionamiento. Las directivas se pueden modificar normalmente desde varios niveles como pueden ser server config, virtual host, directory, .htaccess, no obstante vamos a realizar los cambios en el fichero /etc/apache2/apache2.conf que es el server config o fichero de configuración del servidor principal.
Después de la versión 2.0.44, los detalles del número de versión son controlados por una segunda directiva llamada ServerTokens limitando la información a mostrar, aunque desactivando ServerSignature ya es suficiente.
Los tres parametros de configuración que acepta la directiva ServerSignature son:
On: Añade una línea con el número de versión y el ServerName que se detalla en el VirtualHost.
Off: configuración que se establece por defecto, suprime la información que muestra la versión del servidor.
email: crea un enlace de correo hacia el ServerAdmin.
Si accedemos a una página no encontrada en el servidor o mediante herramientas de rastreo de red como nmap podemos obtener una información similar a esta, donde podemos ver la versión del servidor Apache

ocultar version apache servidor apache
ocultar version apache servidor apache

Fichero de configuración de apache en Debian/Ubuntu

sudo nano /etc/apache2/apache2.conf

Agregamos las siguientes líneas para ocultar la versión de apache

ServerSignature Off
ServerTokens Prod

ServerSignature Off” oculta la versión de Apache en cualquier página de error o herramienta de rastreo
ServerTokens Prod” limita que no se muestre información en las cabeceras de respuesta HTTP para versiones Apache después de 2.0.44
Finalmente para que se apliquen los cambios debemos reiniciar el servidor apache con alguno de los siguientes comandos

sudo service apache2 restart
sudo systemctl restart apache2

Ocultar versión de PHP

Apache puede trabajar con varios interpretes de programación como puede ser PHP, entre otros como java, phyton, etc. Si nuestro lenguaje base es PHP que es usado para WordPress, muy conocido en internet recientemente exponer nuestra versión de php puede resultar una amenaza para la seguridad de nuestro servidor web. Para ocultar la información de la versión debemos acceder al siguiente fichero de configuración

sudo nano /etc/php/7.0/apache2/php.ini

para encontrar dicho fichero php.ini podemos usar el comando find de búsqueda en el sistema:

sudo find / -name 'php.ini'

como buscar php ini debian
como buscar php ini debian

Una vez encontrado el fichero php.ini lo editamos y modificamos el parámetro “expose_php = On” por “expose_php = Off”.

ocultar version php
ocultar version php
ocultar versión php para servidor web

Finalmente para que se apliquen los cambios debemos reiniciar el servidor apache con alguno de los siguientes comandos

sudo service apache2 restart
sudo systemctl restart apache2