PHP をインストールしてすぐのデフォルトの状態だと、次のように HTTP レスポンスヘッダー X-Powered-By に PHP のバージョン情報を設定して返却するようになっています。 また HTTP サーバーに Apache を利用している場合は、Server ヘッダにも PHP のバージョンが表示される場合もあります。
HTTP/1.1 200 OK
Date: Wed, 3 Jun 2018 13:46:59 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/7.1.6
X-Powered-By: PHP/7.1.6
Content-Type: text/html; charset=UTF-8
(以下略)
しかしセキュリティ上は「サーバーになんのソフトウェアがインストールされているか?」は可能な限り秘密にしておくことが好ましく、できれば X-Powered-By ヘッダを返却しないようにした方が良さそうです。 それでは、どのように X-Powered-By ヘッダを返却しないようにできるかを解説していきます。
php.ini の設定
PHP の設定ファイル php.ini の設定項目 expose_php の設定を変更することで、X-Powered-By ヘッダを返却しないようにできます。 次のように expose_php の値を off に設定するだけです。
expose_php=Off
設定変更後は HTTP サーバーを再起動することを忘れないでください。 これで X-Powered-By ヘッダが返却されないようになりました、また Server ヘッダにも PHP のバージョンが含まれていた場合は、それも返却されないようになったのではないでしょうか。
おわりに
本稿では、PHP における X-Powered-By ヘッダを返却しないようにする方法について開設しました。 PHP をインストールした直後に設定するように心掛けてください。
