网站安全有一个重要的、不可或缺的因素,那就是隐藏网站的身份。什么是网站的身份呢?每一个人有自己的身份,比如:姓名、性别、年龄、家庭地址、身份证号、手机号、人际关系,等等。网站的身份就是,用什么语言开发的,用的什么web服务器,今天就由立方米随风和大家分享一下网站建设过程中如何做网站安全隐身。
如果没有隐藏网站的身份,就跟现实中,把自己的个人信息暴露在所有人面前,不法分子可以利用这些信息做坏事,网站也一样。
现在好多浏览器都可以查看HTTP消息头。例如:google chrome、firefox 等。直接F12就可以查看。
如下图,直接通过HTTP消息头,看到了web服务器用的是Apache 版本 2.4.23 , OpenSSL 版本1.0.2j , PHP版本 5.2.17 。
知道这些服务器信息,不法分子就可以用相应的方式试探服务器是否有漏洞。为了进一步的入侵提供了可能。
想要让网站更安全,怎么样实现网站身份的隐身呢?其实,这个只需要服务器相应的设置,就可以实现。
本人的服务器是Apache + php,就用Apache+php来举例子。只需要两步:
第一步,处理Server 参数泄露问题:
在Apache 安装目录下,找到Httpd.conf,打开。把下面两个参数配置放在文件最下面:
ServerSignature Off
ServerTokens Prod
第二步,处理X-Powered-By:
找到php.ini文件。
属性expose_php 改成Off:
expose_php = Off
最后重启Apache就可以了。
效果如下图(X-Powered-By 没有了。Server的详细信息也隐藏了。)