Ինչպե՞ս թաքցնել PHP տարբերակի համարը HTTP վերնագրում:
Ներածություն
Hypertext Transfer Protocol (HTTP) վերնագիրը հաճախորդի և սերվերի միջև վեբ հաղորդակցության կարևոր կողմն է: Այն պարունակում է տարբեր տեսակի տեղեկատվություն, ներառյալ ծրագրային ապահովումը, որն օգտագործվում է վեբ կայքի գործարկման համար: Մասնավորապես, այն կարող է մանրամասն տեղեկություններ բացահայտել ձեր կայքի PHP տարբերակի համարի մասին:
PHP-ն սերվերի կողմից սկրիպտավորման լեզու է, որն ապահովում է վեբկայքերի ավելի քան 80%-ը ամբողջ աշխարհում և ունի հաքերների թիրախավորման մեծ հավանականություն՝ շնորհիվ իր ժողովրդականության: Կարևոր է թաքցնել ձեր կայքի PHP տարբերակի համարը ոչ միայն այն հարձակվողներից, որոնք կարող են օգտագործել հայտնի խոցելիությունները, այլ նաև կանխելու համար, որ նրանք պատկերացում կազմեն ձեր համակարգի կազմաձևման վերաբերյալ:
Այս տեղեկատվությունը կարող է օգնել հարձակվողներին ճշգրտել իրենց հարձակումները և դրանք ավելի կոնկրետ դարձնել՝ մեծացնելով հաջողության հասնելու նրանց հնարավորությունները և զգալի վնաս պատճառելով ձեր թվային ակտիվներին կամ տվյալներին: Հետևաբար, հրամայական է, որ դուք անհրաժեշտ միջոցներ ձեռնարկեք ձեր վեբկայքի անվտանգությունն ապահովելու համար՝ թաքցնելով դրա PHP տարբերակի համարը HTTP վերնագրերում:
PHP տարբերակի համարը HTTP վերնագրում թաքցնելու մեթոդներ
Օգտագործելով .htaccess ֆայլը PHP տարբերակի տեղեկատվությունը հեռացնելու համար
PHP տարբերակի համարը HTTP վերնագրում թաքցնելու ամենատարածված և պարզ մեթոդներից մեկը ձեր կայքի .htaccess ֆայլի խմբագրումն է: .htaccess ֆայլը սերվերի կազմաձևման ֆայլ է, որը վերահսկում է ձեր կայքի վարքագծի տարբեր ասպեկտները, ինչպիսիք են URL-ի վերահղումը, մուտքի վերահսկումը և MIME տեսակները:
Պարզ կոդի հատված ավելացնելով .htaccess ֆայլին, դուք կարող եք արդյունավետորեն հեռացնել PHP տարբերակի համարի ցանկացած հիշատակում HTTP վերնագրից: Ձեր կայքի .htaccess ֆայլը խմբագրելու համար կարող եք օգտագործել ցանկացած տեքստային խմբագրիչ կամ FTP հաճախորդ, որն աջակցում է հեռակա ֆայլերի խմբագրմանը:
Նախ, գտնեք ձեր կայքի արմատական գրացուցակը և գտեք .htaccess ֆայլը: Եթե այն դեռ գոյություն չունի, ստեղծեք նորը` ստեղծելով «.htaccess» անունով պարզ տեքստային փաստաթուղթ և վերբեռնելով այն արմատային գրացուցակում:
Հաջորդը, բացեք .htaccess ֆայլը ձեր նախընտրած խմբագրիչով և ներքևում ավելացրեք հետևյալ կոդը −
# Remove PHP version information
Header unset X-Powered-By Header always unset X-Powered-By
Այս կոդը հրահանգում է Apache վեբ սերվերին հեռացնել «X-Powered-By» վերնագրի դաշտը HTTP պատասխանից, եթե mod_php5 մոդուլը բեռնված է: Այս դաշտը սովորաբար բացահայտում է PHP տարբերակի համարը վեբ սերվերի անվան հետ միասին:
Այս մեթոդի կիրառումը հեշտ ճանապարհ է ապահովում ոչ տեխնիկական օգտատերերի համար, ովքեր չունեն մուտք դեպի սերվերի կազմաձևման ֆայլեր ընդհանուր հոստինգի ենթակառուցվածքում սահմանափակ արտոնություններով: Այնուամենայնիվ, այս մեթոդը կարող է չաշխատել բոլոր հոսթինգ պրովայդերների կամ կոնֆիգուրացիաների վրա՝ սերվերի կարգավորումների տարբերությունների պատճառով:
Օգտագործելով սերվերի կազմաձևման ֆայլեր՝ PHP տարբերակի տեղեկատվությունը անջատելու համար
PHP-ի տարբերակի մասին տեղեկատվությունը թաքցնելու մեկ այլ եղանակ ներառում է ձեր վեբ սերվերի ծրագրակազմի կազմաձևումը ուղղակիորեն՝ փոփոխելով դրա կազմաձևման ֆայլերը: Այս մոտեցումը թույլ է տալիս կատարել փոփոխություններ, որոնք ազդում են սերվերում տեղակայված բոլոր կայքերի վրա: Այս դեպքում դուք կարող եք անջատել PHP տարբերակի տեղեկատվությունը սերվերի մակարդակով, այլ ոչ թե կոնկրետ վեբկայքի վրա:
Սերվերի մակարդակում PHP տարբերակի տեղեկատվությունը անջատելու համար հետևեք այս քայլերին
Գտեք ձեր վեբ սերվերի կազմաձևման ֆայլը:
Բացեք կազմաձևման ֆայլը ցանկացած տեքստային խմբագրիչով և որոնեք «expose_php»:
Եթե «expose_php»-ը դրված է «On»-ի, փոխեք այն «Off»-ի: Եթե հրահանգը չկա ֆայլում, ավելացրեք այն ձեր PHP մոդուլի կազմաձևման բաժնում:
Պահպանեք և դուրս եկեք կազմաձևման ֆայլից:
-
Վերագործարկեք ձեր վեբ սերվերը, որպեսզի փոփոխություններն ուժի մեջ մտնեն:
Այս քայլերը կատարելուց հետո ձեր վեբկայքին արված ցանկացած հարցում այլևս չի բացահայտի PHP տարբերակի համարը HTTP վերնագրերում: Այս մեթոդը ապահովում է ավելի արդյունավետ մոտեցում, բայց կարող է պահանջել տեխնիկական գիտելիքներ կամ մուտք դեպի սերվերի ֆայլեր, որոնք միշտ չէ, որ հասանելի են ընդհանուր հոսթինգ մատակարարների համար: Այս երկու մեթոդներն էլ ունեն իրենց առավելություններն ու թերությունները: .htaccess մեթոդը ավելի հեշտ և արագ է իրականացվում, սակայն դրա արդյունավետությունը կարող է տարբեր լինել՝ կախված հոսթինգի մատակարարի քաղաքականությունից: Միևնույն ժամանակ, վեբսերվերի կարգավորումն ուղղակիորեն թույլ է տալիս ավելի ճշգրիտ վերահսկել կարգավորումները, սակայն պահանջում է ավելի բարձր մակարդակի տեխնիկական փորձաքննություն և մուտքի թույլտվություններ: Անկախ նրանից, թե որ մեթոդն եք ընտրում, զգայուն տեղեկատվության բացահայտման նվազեցումը, ինչպիսիք են ծրագրաշարի տարբերակները, կարող է օգնել բարելավել անվտանգության դիրքը` հարձակումները դարձնելով ավելի դժվար կամ ժամանակատար վնասակար գործող անձանց համար:
Լրացուցիչ խորհուրդներ ձեր կայքի PHP-ի տեղադրումն ապահովելու համար
Ձեր PHP-ի տեղադրումը արդիական պահեք անվտանգության վերջին պատչերի և թարմացումների հետ
Ձեր PHP-ի տեղադրումը թարմացված պահելը անվտանգության վերջին պատչերով և թարմացումներով շատ կարևոր է ապահովելու համար, որ ձեր կայքը միշտ պաշտպանված լինի հնարավոր սպառնալիքներից և խոցելիություններից: PHP մշակողները պարբերաբար թարմացումներ են թողարկում անվտանգության նոր հայտնաբերված խնդիրների լուծման համար, ուստի կարևոր է հետևել այս թողարկումներին և կիրառել դրանք որքան հնարավոր է շուտ:
Նոր թարմացումների մասին տեղեկացված լինելու լավագույն միջոցներից մեկը PHP-ի պաշտոնական փոստային ցուցակներին բաժանորդագրվելն է կամ սոցիալական մեդիայի պաշտոնական հաշիվներին հետևելը: Այս աղբյուրները ձեզ տեղեկատվություն կտրամադրեն այն մասին, թե երբ են նախատեսվում նոր թողարկումները և ինչ փոփոխություններ են դրանք ներառում:
Երբ դուք հայտնաբերել եք նոր թարմացում, համոզվեք, որ այն մանրակրկիտ փորձարկեք ոչ արտադրական միջավայրում, նախքան այն կիրառելը ձեր կենդանի կայքէջում: Այս լրացուցիչ քայլը կարող է օգնել խուսափել համատեղելիության հետ կապված հնարավոր խնդիրներից, որոնք կարող են առաջացնել խափանում կամ այլ խնդիրներ:
Հեռացնել ավելորդ ընդարձակումները և մոդուլները ձեր PHP-ի տեղադրումից՝ հարձակման մակերեսը նվազեցնելու համար
Որքան շատ ընդլայնումներ և մոդուլներ եք տեղադրել ձեր սերվերի վրա, այնքան ավելի մեծ է դառնում ձեր հարձակման մակերեսը: Հարձակման մակերեսը վերաբերում է բոլոր այն կետերին, որտեղ հարձակվողները կարող են պոտենցիալ օգտագործել ձեր համակարգի թույլ կողմերը:
Եթե դուք ունեք անհարկի ընդլայնումներ կամ մոդուլներ տեղադրված, ապա յուրաքանչյուրը դառնում է հարձակվողների մուտքի լրացուցիչ կետ: Այս ռիսկը նվազագույնի հասցնելու համար խորհուրդ է տրվում վերանայել ձեր սերվերում ներկայումս տեղադրված բոլոր ընդլայնումները և հեռացնել բոլոր այն ընդլայնումները, որոնք էական չեն ձեր կայքի ֆունկցիոնալության համար:
Այս գործընթացը կարող է ժամանակատար լինել, բայց արժե ջանքեր գործադրել անվտանգության բարձրացման տեսանկյունից: Ընդլայնումները կամ մոդուլները ձեր սերվերից հեռացնելիս համոզվեք, որ դա անում եք վերահսկվող ձևով, մանրակրկիտ ստուգելով յուրաքանչյուր փոփոխություն նախքան որևէ լրացուցիչ փոփոխություն կատարելը:
Պահպանեք մանրամասն փաստաթղթեր ամբողջ գործընթացի ընթացքում, որպեսզի, եթե ինչ-որ բան սխալ լինի, կարողանաք արագ բացահայտել, թե ինչ է փոխվել և անհրաժեշտության դեպքում ետ վերադառնալ: Դրանով դուք ավելի լավ պատրաստված կլինեք պաշտպանելու ձեր կայքը հնարավոր սպառնալիքներից:
Եզրակացություն
Ինչպես մենք քննարկել ենք այս հոդվածում, կարևոր է թաքցնել ձեր կայքի PHP տարբերակի համարը HTTP վերնագրում՝ դրա անվտանգությունը բարձրացնելու համար: Բացահայտելով ձեր PHP տարբերակի համարը՝ դուք արժեքավոր տեղեկատվություն եք տրամադրում պոտենցիալ հարձակվողներին, որոնք կարող են այնուհետև օգտագործել հին տարբերակներում առկա հայտնի խոցելիությունները: Սա կարող է հանգեցնել ծանր հետևանքների, ինչպիսիք են տվյալների խախտումը կամ ձեր կայքի սերվերի ամբողջական գրավումը:
Այս հոդվածում մենք նախանշել ենք PHP տարբերակի համարը թաքցնելու երկու եղանակ՝ օգտագործելով .htaccess ֆայլը և օգտագործելով սերվերի կազմաձևման ֆայլերը: Երկու մեթոդներն էլ ունեն իրենց առավելություններն ու թերությունները, բայց դրանք ձեր կայքի PHP տեղադրումն ապահովելու արդյունավետ միջոցներ են:
PHP տարբերակի համարը թաքցնելը ձեր վեբ կայքի անվտանգության ընդամենը մի մասն է: Կան բազմաթիվ այլ միջոցներ, որոնք կարող եք ձեռնարկել դրա ընդհանուր անվտանգությունը բարելավելու համար, ինչպիսիք են՝ ձեր ծրագրաշարը թարմացնելը անվտանգության վերջին պատչերի և թարմացումների հետ, հեռացնել ավելորդ ընդարձակումները և մոդուլները ձեր PHP-ի տեղադրումից, կիրառել գաղտնաբառերի ուժեղ քաղաքականություն և կանոնավոր կրկնօրինակումներ, և օգտագործելով HTTPS արձանագրություն՝ հաճախորդ-սերվերի միջև անվտանգ հաղորդակցության համար: