Algo importante en la seguridad de servidores web es ofrecer siempre la menor cantidad de información acerca de las versiones del software instalado en el servidor. Hace ya bastante tiempo vimos cómo ocultar o enmascarar la versión de Apache o la versión de Bind.
En este caso vamos a ocultar la versión de PHP, es extremadamente sencillo. Únicamente hay que editar el fichero de configuración general php.ini y modificar el siguiente parámetro a Off:
expose_php Off
Ya podemos verificar que al hacer la petición contra el sitio web la información PHP ya no se muestra:
# telnet servidor 80 Connected to xxx.com (xx.xx.xx.xx). Escape character is '^]'. HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: Fri, 13 Aug 2010 14:18:09 GMT Server: Apache Last-Modified: Fri, 12 Feb 2010 12:22:56 GMT ETag: "44967c-6f-53ca4800" Accept-Ranges: bytes Content-Length: 111 Connection: close Content-Type: text/html Connection closed by foreign host.