HTTP応答ヘッダーにApacheやPHPのバージョン等不要なデータを出力させないようにする方法
当サイトをFirefoxの開発者ツールからチェックするとHTTP応答ヘッダーに「Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/7.4.29」とApacheやPHPのバージョンが表示されておりちょっと気になった。以下に表示させない方法をメモ。
対応前の応答ヘッダー
HTTP/1.1 200 OK Date: Sat, 10 Feb 2024 10:30:15 GMT Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/7.4.29 X-Powered-By: PHP/7.4.29 Cache-Control: max-age=3600 Expires: Sat, 10 Feb 2024 11:30:15 GMT Content-Length: 5354 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html; charset=UTF-8
対応方法
Apache設定
サーバにSSH接続し以下の通り進める。
#apacheの設定ファイルを開く vi /etc/httpd/conf/httpd.conf #以下を追記 ServerSignature Off ServerTokens ProductOnly #apacheの再起動 systemctl restart httpd
「ServerSignature」はエラーメッセージに関する設定、「ServerTokens」は応答ヘッダーの設定となる。
この時点での応答ヘッダーは以下内容が出力される。
HTTP/1.1 200 OK Date: Sat, 10 Feb 2024 10:37:49 GMT Server: Apache X-Powered-By: PHP/7.4.29 Cache-Control: max-age=3600 Expires: Sat, 10 Feb 2024 11:37:49 GMT Content-Length: 5354 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html; charset=UTF-8
「Server: Apache」のところが「ServerTokens」で設定した通り、最低限の出力になっている点が確認できる。
PHP設定
サーバにSSH接続し以下の通り進める。
#PHPの設定ファイルを開く vi /etc/php.ini #変更前 expose_php = On #変更後 expose_php = Off #apacheの再起動 systemctl restart httpd
「expose_php」が応答ヘッダーに関する設定となる。
この時点での応答ヘッダーは以下内容が出力される。
HTTP/1.1 200 OK Date: Sat, 10 Feb 2024 10:43:19 GMT Server: Apache Cache-Control: max-age=3600 Expires: Sat, 10 Feb 2024 11:43:19 GMT Content-Length: 5354 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html; charset=UTF-8
PHPのバージョンを表示されなくなった点が確認できる。
所感
色々サイトをWappalyzerで見ているとPHPやApacheのバージョンが表示される場合とされない場合があり不思議に思っていたけど、このような設定を行うことで非表示にできるんだと勉強になった。
関連記事
-
-
CentOS7系からAlmaLinux8系に移行(サーバも移行)した際に詰まった点と変更点
前日CentOS7系からAlmaLinux8系に移行した(サーバはどちらも同じV ...
-
-
ブラウザがWebP対応の場合はそのまま表示し、非対応の場合はjpg/png画像を表示させる方法
ページ表示時にブラウザがWebP画像に対応している場合はそのまま表示し、非対応の ...
-
-
phpMyAdminにて指定したIPアドレスからのアクセスを制限する方法
phpMyAdminにて指定したIPアドレスからのアクセスを制限する方法をメモ。 ...
-
-
VPSで決めた時間に自動でreboot(再起動)させる方法
VPSを常時起動させてると、どうもapache(httpd)がメモリを離してくれ ...
-
-
htaccessファイルでダイジェスト認証を行う方法
何かで調べ物をしていたときにdigest認証というものを見かけた。basic認証 ...