Menghilangkan X-Powered-By: PHP/ 5.6.22
Kalau anda mengecek informasi header HTTP dari web server yang kita gunakan maka akan muncul berbagai macam baris datanya. Paling sering akan ada nama web servernya dan mesin pengolah scriptnya. Walaupun bukan fitur yang bisa dimanfaatkan menjadi celah keamanan tapi bisa membuat orang tahu stacknya dan versinya.
Ini yang bisa jadi berbahaya kalau kebetulan ada celah keamanan berbahaya dan kita tidak cepat mengupdatenya. Karena itu ada baiknya dimatikan atau dihilangkan saja informasi yang berlebihan ini.
Masih bingung? Maksud saya seperti ini, silahkan cek header website anda:
curl -I nama_domain.com
Balasannya akan mirip seperti ini:
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 02 Jul 2016 13:00:01 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
Set-Cookie: PHPSESSID=rj51sgdksc4papgjmtngkbg9r5; path=/
Pragma: no-cache
Cache-Control: private
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1
X-Content-Type-Options: nosniff
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Sat, 02 Jul 2016 13:00:01 GMT
X-Powered-By: PHP/5.6.22
Langsung ketahuan apa web servernya dan menggunakan PHP versi berapa.
Untuk menghilangkannya maka kita perlu mengedit konfigurasi PHP:
nano /etc/php.ini
Kemudian cari dan ubah baris dibawah:
expose_php = Off
Dan akhirnya restart proses PHP-FPM:
service php-fpm restart
Selesai sudah dan bisa anda cek lagi header situs tadi dan mestinya sudah tidak ada lagi.
pernah cek servernesia via redbot ada baris yang menarik yang saya lihat disana yaitu : x-powered by kopi pahit 😀
sekarang sudah berubah jadi bubur ayam dan ada tambahan lagi untuk servernya rice cooker 😀 😀
saya coba tambahan di nginx.conf malah nggak bisa diload haha, setelah gogling ternyata harus ada modul tambahan tapi kalau pakai nginx-more sudah ada diikutsertakan add-more-header
apa ini termasuk trik buat sembunyikan info server atau sekedar pemanis saja mas hehe 😀
Hihihi 😀 Ternyata ada yang ngecek toh. Cuma something fun saja dan sekalian menyamarkan stacknya. Itu kopi pahit karena migrasi server dadakan malam – malam, ditemani segelas kopi. Dan yang barusan ini memang sambil sarapan. Mencerminkan kondisi saya pas settingnya. 😛
Dulu saya pakai
add_header
mbak: http://nginx.org/en/docs/http/ngx_http_headers_module.html dan memang yang barusan sudah gantimore_set_headers
yang lebih fleksibel: https://github.com/openresty/headers-more-nginx-module#readmehmm.. sepertinya tambahan captcha ada gunanya juga : fast respon hehehe 😀
Kebetulan sedang nulis tutorial mail hosting mbak, pakai Modoboa. Hehe. 😀
di PHP7 saya temuka
expose_php = Off
tanpad
, apa emang beda ya mas?Astaga… saya yang salah mas. Trims koreksinya. 😀