1390021_11536794

 WebページのHTTPヘッダーなどに表示されるPHPやApacheのバージョン番号の確認方法やセキュリティ対策で非表示にする方法を下記に明記します。

 Webサイトはいつ、どこから攻撃されるかわかりません。できるだけ最善のセキュリティ対策を施す必要があります。その一つにバージョンがあります。ソフトウェアは何かしら不具合があると修正プログラムを当てるなどしてバージョンアップを施します。毎月行われているWindowsのアップデートもその一つです。

 その為、Web上で使われているソフトやプログラムのバージョン番号はできるだけ公開されない方がいいです。もし、そのバージョン番号が公開されていて修正パッチが当てられていないことがわかると、その不具合を利用して攻撃されることもあります。

 ブラウザソフトのFirefoxのアドオンにLive HTTP headers(公式サイト)というものがあります。このアドオンを使うとHTTPのヘッダーを確認することができます。そのアドオンを使うとサイトによってはPHPやApacheのバージョン番号が確認できてしまいます。

 浜松のある議員さんのサイトを確認すると下記のように表示されます。

あるサイトのHTTPヘッダー

あるサイトのHTTPヘッダー

 見てもわかるとおりレスポンスヘッダーのX-Powered-ByにPHPのバージョンが表示されています。さらに御丁寧にServerにはPHPのバージョンのほかモジュールのバージョンまで表示されています。非常に危険です。

 PHPのバージョンを表示させないようにするにはPHPの設定ファイルphp.iniの「expose_php」を下記のようにOFFにするだけ。

expose_php = Off

 Apacheのバージョンはhttpd.confファイルの「ServerTokens」をProdに設定すればOK

ServerTokens Prod

 また、ページが見つからなかったときに表示される「Not Found」にもApacheのバージョンが表示される場合があります。これは同じhttpd.confファイルの「ServerSignature」をOFFにすればいい。

ServerSignature Off

 もし、サーバーの設定が可能であればできるだけこのような対応を施しておきましょう。

Apacheセキュリティ

著者/訳者:Ivan Ristic

出版社:オライリージャパン( 2005-10-17 )

定価:

Amazon価格:¥ 3,888

大型本 ( 421 ページ )

ISBN-10 : 4873112567

ISBN-13 : 9784873112565