Bei jeder Anfrage an dynamische Webseiten wird im sog. Header bei PHP-Seiten eine zusätzliche Information zur Versionsnummer mitgeschickt. Dies kann deaktiviert werden.

Den aktuellen auskunftsfreudigen Zustand des Servers kann man mit dem Firefox Add-on Live HTTP Headers überprüfen:

X-Powered-By: PHP/5.2.3

Es hat nichts mit mehr Sicherheit zu tun diese Ausgabe zu verhindern, jedoch teilt man so einem Freizeit-Hacker nicht gleich mit, für welche Version Sicherheitslücken gefunden werden können.

In der Konfigurations-Datei für PHP, also der php.ini, gibt es eine Einstellung die wie folgt verändert werden kann um die Versionsnformationen nicht mehr anzuzeigen:

expose_php = Off

nach einem neuladen der Konfigurationsdateien mit

apache2ctl graceful

steht Apache wieder bereit, jetzt jedoch ohne “X-Powered-By” Feld.

Beschreibung der core php.ini Einstellungen