Apache Server-Version verstecken
Bitte verwenden sie die "Drucken" Funktion am Seitenende, um ein PDF zu erstellen.
Beim Abruf einer Website übertragen manche Webserver-Programme weitere Informationen, zum Beispiel die eingesetzte Server-Version, das benutzte Betriebssystem oder eingesetzte Plug-ins. Angreifer könnten diese Information nutzen, um gezielt Schwachstellen der eingesetzten Software auszunutzen. Dieser Artikel informiert Sie darüber, wie Sie diese Informationen bei Apache Webservern verstecken.
Hinweis
In der Regel haben Sie nur bei selbstverwalteten Webservern Zugriff auf die Konfiguration. IONOS Webserver in Shared Hosting Umgebungen sind bereits auf höchstmögliche Sicherheit konfiguriert.
Apache Server-Version verstecken
Für den häufig eingesetzten Apache Webserver gibt es Einstellungen, um die Herausgabe sensibler Informationen zu unterbinden.
Öffnen Sie die Konfigurationen Ihres Apache Webservers und setzen Sie folgende Einstellungen:
ServerTokens Prod
ServerSignature Off
Manche Apache Webserver sind so konfiguriert, dass sie einen detaillierten Status-Report als Website ausliefern. In diesem Fall gehen Sie folgt vor:
- Überprüfen Sie, ob Ihr Webserver einen Status-Report bietet.
Geben Sie dazu in Ihrem Browser Ihre Domain gefolgt von /server-info ein (z.B. http://beispiel.de/server-info).
Wenn jetzt eine Seite mit technischen Informationen zu Ihrem Webserver erscheint, ist Ihr Webserver anfällig. - Suchen Sie in Ihrer Webserver-Konfiguration nach folgendem Block:
<Location "/server-status">
SetHandler server-status
</Location> - Passen Sie die Konfiguration so an, dass die Seite nicht öffentlich aufrufbar ist:
<Location "/server-status">
SetHandler server-status
Order deny,allow
Deny from all
</Location> - Starten Sie den Apache Webserver neu, um die angepasste Konfiguration zu laden.
Weitere Informationen finden Sie in der offiziellen Apache-Dokumentation.