Bei jeder Anfrage an dynamische Webseiten wird im sog. Header bei PHP-Seiten eine zusätzliche Information zur Versionsnummer mitgeschickt. Dies kann deaktiviert werden.
Den aktuellen auskunftsfreudigen Zustand des Servers kann man mit dem Firefox Add-on Live HTTP Headers überprüfen:
X-Powered-By: PHP/5.2.3
Es hat nichts mit mehr Sicherheit zu tun diese Ausgabe zu verhindern, jedoch teilt man so einem Freizeit-Hacker nicht gleich mit, für welche Version Sicherheitslücken gefunden werden können.
In der Konfigurations-Datei für PHP, also der php.ini, gibt es eine Einstellung die wie folgt verändert werden kann um die Versionsnformationen nicht mehr anzuzeigen:
expose_php = Off
nach einem neuladen der Konfigurationsdateien mit
apache2ctl graceful
steht Apache wieder bereit, jetzt jedoch ohne “X-Powered-By” Feld.
Beschreibung der core php.ini Einstellungen
