Sunucuda Yüklü PHP Versiyonunu Gizleme

Güvenlik sebebiyle, saldırılardan kendinizi korumanız için sunucunuzun zayıflıklarını öğrenmek isteyen saldırganlardan PHP versiyonunuzu gizlemeniz gerekir.

Eğer kullandığınız PHP versiyonunda bilinen güvenlik zaafiyeti varsa, bu durum saldırganların işini fazlasıyla kolaylaştıracaktır.

Php versiyonunu gizlemek için PHP yapılandırma dosyasını düzenlemeniz gerekir.  Bu yapılandırma dosyasının sunucunuzdaki  yerini bilmiyorsanız, onu bulmak için aşağıdaki komutu çalıştırın:

$ php -i | grep "Loaded Configuration File"

---------------- On CentOS/RHEL/Fedora ---------------- 
Konfigrasyon Dosyasının Konumu => /etc/php.ini
---------------- On Debian/Ubuntu/Linux Mint ---------------- 

Konfigrasyon Dosyasının Konumu => /etc/php/7.0/cli/php.ini

Herhangi bir değişiklik yapmadan önce PHP config dosyanızı yedeklemenizi öneririm.

----------------  CentOS/RHEL/Fedora ---------------- 
$ sudo cp /etc/php.ini /etc/php.ini.orig
---------------- Debian/Ubuntu/Linux Mint ---------------- 
$ sudo cp /etc/php/7.0/cli/php.ini  /etc/php/7.0/cli/php.ini.orig

Bir kod editörü kullanarak yönetici kullanıcısı ile şu konutları uygulayın

---------------- CentOS/RHEL/Fedora ---------------- 
$ sudo vi /etc/php.ini
---------------- Debian/Ubuntu/Linux Mint ---------------- 
$ sudo vi /etc/php/7.0/cli/php.ini

expose_php kelimesini bulun ve değerini kapalı olarak ayarlayın. Yani  expose_php = off

Dosyayı kaydedin ve çıkın. Ardından sunucuyu yeniden başlatın.

---------------- On SystemD ---------------- 
$ sudo systemctl restart httpd
$ sudo systemctl restart apache2 
---------------- On SysVInit ---------------- 
$ sudo service httpd restart
$ sudo service apache2 restart

Son olarak, sunucu HTTP yanıt başlığının aşağıdaki komutu kullanarak hala PHP sürüm numaranızı gösterip üretmediğini kontrol edin.

$ lynx -head -mime_header http://localhost 
ya da
$ lynx -head -mime_header http://sunucu-adresi