Desactivar la firma del servidor, versión de Apache

Un segundo paso en nuestra seguridad wordpress puede ser desactivar la firma del servidor (lo que inglés se denomina “turns off the server signature”)-versión de Apache. Luego de haber añadido la activación de la reescritura , escribimos lo siguiente en nuestro archivo htaccess:

## Desactiva la firma del servidor ##
ServerSignature Off

Cuando se envían solicitudes remotas a su servidor web Apache, de forma predeterminada, algunos datos valiosos, como el número de versión del servidor web, los detalles del sistema operativo del servidor, los módulos instalados de Apache y más, se envían al cliente en documentos generados por el servidor.

Esta es una buena cantidad de información para que los atacantes exploten las vulnerabilidades y obtengan acceso a su servidor web. Para evitar mostrar la información del servidor web, mostraremos en este artículo cómo ocultar la información del servidor web Apache mediante determinadas directivas de Apache.

La intención de ocultar que tipo de servidor tenemos en uso es para evitar que los hackers dispongan de esta información y sepan de que forma hacernos daño, que por lo menos den palos de ciego averiguando que versión de server tenemos disponible.

Tuve necesidad de hacerlo hace poco para un servidor dedicado, vía SSH en Linux porque no me funcionó mediante el .htaccess (variante).

ServerSignature

Lo que permite agregar una línea de pie de página que muestra el nombre del servidor y el número de versión en documentos generados por el servidor, como mensajes de error, listados de directorio de ftp mod_proxy, salida de mod_info y muchos más.

Tiene tres valores posibles:

  • Activado : lo que permite agregar una línea de pie de página posterior en documentos generados por el servidor,
  • Desactivado : deshabilita la línea del pie de página y
  • EMail : crea una referencia de ” mailto: “; que envía un correo al ServerAdmin del documento al que se hace referencia.

ServerTokens

Determina si el campo de encabezado de respuesta del servidor que se envía a los clientes contiene una descripción del tipo de sistema operativo del servidor e información relacionada con los módulos de Apache habilitados.

Después de la versión 2.0.44 de Apache , la directiva ServerTokens también controla la información que ofrece la directiva ServerSignature .

Para ocultar el número de versión del servidor web, los detalles del sistema operativo del servidor, los módulos instalados de Apache y más, abra el archivo de configuración del servidor web Apache con su editor favorito.
Agrega / modifica / agrega las líneas a continuación:
ServerTokens Prod
ServerSignature Off

Guarde el archivo, salga y reinicie su servidor web Apache.

Ver también: qué es un servidor web; servidor con linux; .htaccess qué es y para qué sirve

Ediciones 2013-16-18