Lors de l'ouverture d'un site Web, certains programmes de serveur transfèrent des informations supplémentaires, par exemple la version du serveur, le système d'exploitation ou les plug-ins utilisés.

Les attaquants pourraient utiliser ces informations afin d'exploiter de manière ciblée les points faibles du logiciel employé. Compliquez la tâche des attaquants en cachant ces informations sensibles.

Cacher la version du serveur Apache

Pour le serveur Web Apache, fréquemment utilisé, des paramètres permettent d'éviter la publication d'informations sensibles.

Ouvrez les réglages de votre serveur Web Apache et configurez les paramètres suivants :

ServerTokens Prod

ServerSignature Off

Certains serveurs Web Apache sont configurés de sorte qu'ils fournissent un rapport de statut détaillé en tant que site Web. Dans ce cas, veuillez procéder ainsi :

  • vérifiez si votre serveur Web propose la fonction de rapport de statut.
    Pour cela, veuillez saisir dans votre navigateur votre nom de domaine suivi de /server-info (par ex. http://exemple.fr/server-info).

    Si une page contenant des informations techniques sur votre serveur Web apparaît alors, cela signifie que votre serveur Web est vulnérable.
  • Recherchez dans votre configuration de serveur Web le bloc suivant :
    <Location "/server-status">
        SetHandler server-status
    </Location>
  • Ajustez la configuration de sorte que la page ne soit pas accessible publiquement :
    <Location "/server-status">
        SetHandler server-status
        Order deny,allow
        Deny from all
    </Location>
  • Redémarrez le serveur Web Apache pour charger la configuration modifiée.

Vous trouverez de plus amples informations à ce sujet dans la documentation Apache officielle.