Web Security取消網頁伺服器簽名訊息Signature 6
Web Security取消網頁伺服器簽名訊息Signature 6

隱藏網頁主機伺服器和程式語言的版本訊息等敏感資料,到底有多重要呢?特別是面對著駭客滿天飛網路世界中,別以為只公開版本應該沒事,要是特定版本有特定的漏洞,不就是等同於公開告訴駭客,我的後門大開,歡迎來駭嗎?

擁有一個網站是網路創業課程中很重要的一環,如果網站不夠安全,容易被駭,而造成不穩定,網友來第一次連不上,第二次說不定就不來了,更何況如果是購物網站呢?安全性絕對擺第一位,因此網站什麼都被看光光的感覺真的非常不好,特別是公開對外的網頁伺服器,想知道自已主機的情況嗎?不妨先用底下工具測看看~

檢測伺服器工具

whatsmyip

網頁版本:whatsmyip

Web Security取消網頁伺服器簽名訊息Signature 5
Web Security取消網頁伺服器簽名訊息Signature – Whatsmyip

只要把你網站網址輸入進去,再按下「Get Headers」

Web Security取消網頁伺服器簽名訊息Signature 2
Web Security取消網頁伺服器簽名訊息Signature – Apache php mod_ssl openssl版本訊息全都漏

一般而言,如果主機沒經過優化或調校的情況下,通常網頁伺服器種類、程式語言的版本都一覽無遺。

Wappalyzer

Google Chrome 擴充功能:Wappalyzer

Web Security取消網頁伺服器簽名訊息Signature 4
Web Security取消網頁伺服器簽名訊息Signature – Google Chrome Wappalyzer plugins

Firefox Plugin 附加元件:Wappalyzer

Web Security取消網頁伺服器簽名訊息Signature 3
Web Security取消網頁伺服器簽名訊息Signature – Firefox Wappalyzer plugins

Wappalyzer分析網站

Web Security取消網頁伺服器簽名訊息Signature 7
Web Security取消網頁伺服器簽名訊息Signature – Wappalyzer分析結果

如果你用的是Google Chrome 或Firefox的元件Wappalyzer,那麼被看到的資訊可能就更多囉!

Apache版本

PHP版本

OpenSSL版本

PageSpeed版本

…等

甚至連網站是用Wordpress架的、安裝了Google Analytics流量分析都偵測出來了。

即然取消主機的這些資訊這麼麼重要,那麼到底如何作呢?

如何隱藏Apache網頁伺服器簽名資訊?

在Fedora, Arch Linux, CentOS or RHEL,修改http.conf

$ sudo vi /etc/httpd/conf/httpd.conf

在最底下加入這幾行

ServerSignature Off
ServerTokens Prod
Header always unset "X-Powered-By"
Header unset "X-Powered-By"

如何隱藏PHP程試語言版本資訊?

在Fedora, Arch Linux, CentOS or RHEL,修改php.ini

$ sudo vi /etc/php.ini

將expose_php = On 改成

expose_php = Off

$sudo service httpd reload

都改完後再重新載入伺服器,就完成了。

Web Security取消網頁伺服器簽名訊息Signature 1
Web Security取消網頁伺服器簽名訊息Signature – 隱藏重要的Apache php mod_ssl等版本訊息

這時候你就可以發現,我們把主機的一些重要版本資訊都隱藏住了。

回覆留言

Please enter your comment!
Please enter your name here