HTTPの応答ヘッダーに含まれるPHPバージョンを隠す方法

PHPをインストールした状態のままで使用していると、HTTPの応答ヘッダーにPHPのバージョンが表示され、セキュリティーホールを狙った攻撃を受ける可能性があるのでバージョン情報を隠す方法をご紹介します。

ヘッダー情報のサンプル(作業前)

Google Chrome をお使いの方は、F12 → Network → Name Path から該当のページをクリックすればヘッダー情報を見ることが出来ます。その他にも確認する方法は色々あります。

PHPのバージョンが、「PHP/5.4.1」と表示され大変危険な状態です。早速、バージョンを表示しないように php.ini を修正します。

PHPのバージョンを隠す

php.ini を修正します。
expose_php = Onexpose_php = Off に変更します。

設定反映

ヘッダー情報のサンプル(作業後)

ヘッダー情報確認すると、「X-Powered-By:」の項目が消えたことが分ります。これでPHPバージョン表示の対策は完了です。

サーバーを構築するときは、バージョンを隠す事を常に意識して構築してくださいね。

尚、PHPプログラムのバージョンを取得する関数 phpversion() には影響はありません。

読んで頂いて有り難うございます!