Masquer les versions Apache et PHP

Dans tout serveur en production, fournir les numéros des versions installées permet aux pirates de se faire une idée de la sécurité générale (fréquence des mises à jour, versions obsolètes avec failles de sécurité connues, etc.). Vous pouvez facilement vérifier ce que vous transmet votre serveur en installant Wappalyzer dans Firefox (https://wappalyzer.com/). Il est pourtant assez simple de désactiver les numéros de version pour la quasi-totalité des logiciels.

Pour Apache 2

Éditez le fichier /etc/apache2/conf.d/security, et vérifiez le paramétrage de ces attributs :

ServerTokens Prod
ServerSignature Off

Redémarrez ensuite votre serveur Apache

Pour PHP

Éditez le fichier /etc/php5/apache2/php.ini, et modifiez l'attribut :

expose_php = Off

Redémarrez ensuite votre serveur Apache pour que la configuration soit prise en compte.