Si tenemos acceso al archivo php.ini, donde se guarda la configuración de PHP, nos originaria un problema por el cual se debe mejorar de la siguiente forma.
Se debe agregar la siguiente linea
expose_php = Off.
En caso de que ya tuvieras la línea con el valor On
expose_php = On
Se debe cambiar el valor On a Off.
Esta la posibilidad que no se tenga acceso a la configuracion de php debido que se este contratando un hosting que son la mayoria de los casos, deberemos solicitar este cambio a los proveedores del servicio.
En caso de que no se pueda contactar los administradores del hosting, podemos añadir unas líneas de código en el archivo .htaccess de la raíz de la web para evitar que se muestre la versión de PHP.
Ocultar la versión PHP con las siguientes lineas en el .htaccess:
Ocultar la versión PHP con las siguientes lineas en el .htaccess:
ServerTokens Prod
ServerSignature Off
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]
En este caso que modificamos el .htaccess, estas líneas no evitarán que en las cabeceras HTTP siga saliendo la versión de PHP que se ejecuta, por lo que la solución correcta sería el cambio en el archivo php.ini anteriormente comentado.
De esta forma estaremos algo más protegidos.
Aunque este tema no se puede considerar una agujero de seguridad grave, nunca está de más ocultar esta información.
No hay comentarios:
Publicar un comentario