Скрываем версию PHP (X-Powered-By)

Если вы читали предыдущую мою заметку, где мы заставили Apache стать менее многословным, вы уже сделали половину дела. Но не всю. Если вы используете php модуль в вашем веб-сервере, тогда вам нужно сделать дополнительную настройку, дабы заставить заткнуться и php. После применения директив ServerTokens и ServerSignature из вышеуказанной статьи, если мы проверим обычный html файл, мы получим следующий ответ:

HEAD http://remote_server.com/index.html
200 OK
Connection: close
Date: Fri, 16 Jun 2006 01:13:23 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Client-Date: Fri, 16 Jun 2006 21:42:53 GMT
Client-Peer: 192.168.0.102:80
Client-Response-Num: 1

Все выглядит отлично. Но если мы сделаем тоже самое для php файла, то получим следующее:

HEAD http://remote_server.com/index.php
200 OK
Connection: close
Date: Fri, 16 Jun 2006 01:16:30 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Client-Date: Fri, 16 Jun 2006 21:48:13 GMT
Client-Peer: 192.168.0.102:80
Client-Response-Num: 1
X-Powered-By: PHP/5.1.2-1+b1

Упс… Как вы можете заметить php добавляет свой собственный баннер:
X-Powered-By: PHP/5.1.2-1+b1…

Давайте посмотрим что можно сделать. Нам необходимо изменить переменную expose_php в файле php.ini, установив её в значение off.
По умолчанию expose_php имеет значение On.
В файле php.ini (в разныех Linux дистрибутивах он может иметь различное местоплолажение, например /etc/php.ini, /etc/php5/apache2/php.ini, и т.д.) найдите строку содержащую “expose_php On” и установите её значение в Off:

После этого ваш веб сервер не будет показывать информацию о версии PHP. Продолжим в следующих выпусках.