Habe gestern ein paar Dinge mit Apache ausprobiert und Deltachaos hat mich währenddessen darauf hingewiesen, dass der Server unnötige Informationen liefert.

Die Direktive ServerSignature von Apache war mir bekannt und bereits auf Off gestellt; dadurch sendet der Server nicht seine Version bei z.B. Verzeichnislisten oder Fehlerseiten.

Es werden aber auch im HTTP-Header Versionsinformationen von Apache (Server: xxx) und PHP (X-Powered-By: xxx) gesendet.
Mit folgenden Änderungen erreicht man, dass Apache im Header nur noch „Server: Apache“ einträgt und „X-Powered-By“ ganz weglässt:

  1. ServerTokens ProductOnly“ in die Apache-Config eintragen
  2. expose_php = Off“ in die entsprechende php.ini eintragen, z.B. /etc/php5/apache2/php.ini unter Debian.
  3. Apache neustarten mit: apache2ctl graceful

Fertig.