隱藏網頁主機伺服器和程式語言的版本訊息等敏感資料,到底有多重要呢?特別是面對著駭客滿天飛網路世界中,別以為只公開版本應該沒事,要是特定版本有特定的漏洞,不就是等同於公開告訴駭客,我的後門大開,歡迎來駭嗎?
擁有一個網站是網路創業課程中很重要的一環,如果網站不夠安全,容易被駭,而造成不穩定,網友來第一次連不上,第二次說不定就不來了,更何況如果是購物網站呢?安全性絕對擺第一位,因此網站什麼都被看光光的感覺真的非常不好,特別是公開對外的網頁伺服器,想知道自已主機的情況嗎?不妨先用底下工具測看看~
文章目錄
檢測伺服器工具
whatsmyip
網頁版本:whatsmyip
只要把你網站網址輸入進去,再按下「Get Headers」
一般而言,如果主機沒經過優化或調校的情況下,通常網頁伺服器種類、程式語言的版本都一覽無遺。
Wappalyzer
Google Chrome 擴充功能:Wappalyzer
Firefox Plugin 附加元件:Wappalyzer
Wappalyzer分析網站
如果你用的是Google Chrome 或Firefox的元件Wappalyzer,那麼被看到的資訊可能就更多囉!
Apache版本
PHP版本
OpenSSL版本
PageSpeed版本
…等
甚至連網站是用Wordpress架的、安裝了Google Analytics流量分析都偵測出來了。
即然取消主機的這些資訊這麼麼重要,那麼到底如何作呢?
如何隱藏Apache網頁伺服器簽名資訊?
在Fedora, Arch Linux, CentOS or RHEL,修改http.conf
$ sudo vi /etc/httpd/conf/httpd.conf
在最底下加入這幾行
|
1 2 3 4 |
ServerSignature Off ServerTokens Prod Header always unset "X-Powered-By" Header unset "X-Powered-By" |
如何隱藏PHP程試語言版本資訊?
在Fedora, Arch Linux, CentOS or RHEL,修改php.ini
$ sudo vi /etc/php.ini
將expose_php = On 改成
expose_php = Off
$sudo service httpd reload
都改完後再重新載入伺服器,就完成了。
這時候你就可以發現,我們把主機的一些重要版本資訊都隱藏住了。
