Par défaut, le serveur Apache est assez verbeux sur qui il est et ce qu’il sert. Si on regarde de plus près le header renvoyé par le serveur lors de l’appel à une page web, on obtient un truc du genre:
HTTP/1.1 200 OK Date: Mon, 12 Aug 2013 19:59:37 GMT Server: Apache/2.0.55 (Debian) PHP/5.1.2-1+b1 mod_ssl/2.0.55 OpenSSL/0.9.8b Connection: Keep-Alive Content-Type: text/html; charset=UTF-8
Avec ces informations sur la version du serveur Apache utilisé ainsi que la version de PHP, il est facile pour une personne de mal intentionnée de tester toutes les failles connues pour cette version d’Apache et de PHP dans le simple but de vous nuire…
Pour être un peu plus silencieux sur le sujet, dans le fichier /etc/apache2/conf.d/security, on peut modifier la configuration telle que:
ServerTokens Prod ServerSignature Off
Pour ce qui est de PHP, dans le fichier /etc/php5/apache2/php.ini, on peut modifier la configuration telle que:
expose_php Off
Il suffit maintenant de redémarrer le serveur Apache. Le même header devrait maintenant retourne quelque chose du genre:
HTTP/1.1 200 OK Date: Mon, 12 Aug 2013 20:02:38 GMT Server: Apache Connection: Keep-Alive Content-Type: text/html; charset=UTF-8