Server-Version verstecken
Bitte verwenden sie die "Drucken" Funktion am Seitenende, um ein PDF zu erstellen.
Beim Abruf einer Website übertragen manche Server-Programme weitere Informationen, zum Beispiel die eingesetzte Server-Version, das benutzte Betriebssystem oder eingesetzte Plug-ins.
Angreifer könnten diese Information nutzen, um gezielt Schwachstellen der eingesetzten Software auszunutzen. Erschweren Sie Angreifern ihre Arbeit, indem Sie diese sensiblen Informationen verstecken.
Apache Server-Version verstecken
Für den häufig eingesetzten Apache Webserver gibt es Einstellungen, um die Herausgabe sensibler Informationen zu unterbinden.
Öffnen Sie die Konfigurationen Ihres Apache Webservers und setzen Sie folgende Einstellungen:
ServerTokens Prod
ServerSignature Off
Manche Apache Webserver sind so konfiguriert, dass sie einen detaillierten Status-Report als Website ausliefern. In diesem Fall gehen Sie folget vor:
- Überprüfen Sie, ob Ihr Webserver einen Status-Report bietet.
Geben Sie dazu in Ihrem Browser Ihre Domain gefolgt von /server-info ein (z.B. http://beispiel.de/server-info).
Wenn jetzt eine Seite mit technischen Informationen zu Ihrem Webserver erscheint, ist Ihr Webserver anfällig. - Suchen Sie in Ihrer Webserver-Konfiguration nach folgendem Block:
<Location "/server-status">
SetHandler server-status
</Location> - Passen Sie die Konfiguration so an, dass die Seite nicht öffentlich aufrufbar ist:
<Location "/server-status">
SetHandler server-status
Order deny,allow
Deny from all
</Location> - Starten Sie den Apache Webserver neu, um die angepasste Konfiguration zu laden.
Weitere Informationen finden Sie in der offiziellen Apache-Dokumentation.