WordPress der x-powered header wird unnötigerweise mitgesendet

Du hast WordPress installiert und prüfst die Installation oder Deine Webseite und erhältst folgende Meldung:

„Der x-powered header wird unnötigerweise mitgesendet“

Was bedeutet das?

Über den Server in die Programmiersprache PHP wird ein Header mitgesendet, dies sind Informationen über das verwendete System. Leider nutzen Hacker genau solche Informationen aus, um eine Seite anzugreifen. Die meisten Webhoster werden dies schon zur eigenen Sicherheit abgeschaltet haben. Frage hier einmal nach.

Abhilfe

Je nachdem welchen Server Du verwendest kannst Du auch selber Abhilfe schaffen.

Apache

Mit dem folgenden Eintrag in der /etc/apache2/httpd.conf (Pfad kann variieren) kann der X-Powered-By Header entfernt werden.

Header unset X-Powered-By

 

Plesk Server (Version 11)

Um auf einem Plesk Server den X-Powered-By  Header auszublenden, muss man etwas anders vorgehen. Hier werden die Config Dateien automatisch generiert. Eine Variante ist es in der server.php die folgende Zeile auszukommentieren.

In Datei: /usr/local/psa/admin/conf/templates/default/server.php

Zeile ersetzen gegen

#Header add X-Powered-By PleskLin

anschließend mit dem Befehl die Konfiguration neu laden

/usr/local/psa/admin/sbin/httpdmng --reconfigure-all

 

PHP

Um den Server Header zu hindern die PHP Version auszugeben, muss in der php.ini der folgende Eintrag gesetzt werden.

expose_php = Off

So wird zum Beispiel aus

Server: Apache/2.4.7 (Win32) OpenSSL/1.0.1e PHP/5.5.

nur noch

Server: Apache/2.4.7 (Win32) OpenSSL/1.0.1e

 

ServerTokens und ServerSignature

Wie manchen vielleicht auffällt, gibt im letzten Beispiel der Server Header noch immer einiges an Infos aus. Dafür ist die ServerTokens Einstellung im Apache verantwortlich. Diese sollte im produktiven Einsatz immer auf Prod gestellt sein.

Unter Ubuntu findet man die Einstellung in der Datei: /etc/apache2/conf.d/security
Ansonsten kann es auch in der apache2.conf oder httpd.conf definiert werden.

ServerTokens Prod

Nach dem Server Neustart sieht der Server Header so aus

Server: Apache

Zusätzlich muss in der Config Datei ServerSignature auf Off gesetzt werden.

ServerSignature Off

Dadurch wird die Signatur auf automatisch generierten Seiten (Fehlerseiten, Verzeichnisauflistungen) deaktiviert. Ohne diese Einstellung sieht zum Beispiel eine 404er Fehlerseite so aus.

Not Found

The requested URL /ad was not found on this server.
Apache Server at 192.168.0.100 Port 80

Quelle: https://dev.scoutman.at/2014/01/x-powered-by-und-server-header-entfernen/