Désactiver les Easter Egg PHP et la signature X-Powered-By

Par défaut après une installation de PHP il y a une signature dans chaque document indiquant la version de PHP utilisée, et des Easter Egg ( Œuf de Pâques ) affichant via une URL public des images.

 

Vous pouvez essayer les Easter Egg sur votre site internet avec des adresses comme celle-ci :

Un manifique logo PHP
?=PHPE9568F36-D428-11d2-A769-00AA001ACF42

Les crédits de PHP
?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

Un autre logo PHP
?=PHPE9568F34-D428-11d2-A769-00AA001ACF42

Un logo ZendEngine 2
?=PHPE9568F35-D428-11d2-A769-00AA001ACF42

Comment les désactiver ?

Vous l'aurez compris, question sécurité cela peut être délicat surtout si votre version de PHP n'est pas à jour. Alors le mieux c'est encore de le désactiver. Et pour ce faire vous avez deux solutions

Dans le php.ini

Le désactiver via la configuration php.ini c'est la solution la plus fiable et la plus radical. Ouvrez le fichier php.ini, généralement placé ici pour linux : /etc/php5/apache2/php.ini, puis recherchez la valeur expose_php, par défaut sur On et basculez là sur Off :

expose_php = Off

Avec un fichier .htaccess

Si vous utilisez un hébergement mutualisé par exemple il ce peut que vous n'aillez pas accès au fichier php.ini dans ce cas il est encore possible de désactiver les Easter Egg et la signature serveur avec un fichier .htaccess placé à la racine de votre site internet et contenant ceci :

ServerTokens Prod
ServerSignature Off
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]

 

Commentaires