Al acceder a una página web, algunos programas del servidor transmiten información como, por ejemplo, versión del servidor, sistema operativo utilizado o plugins instalados.

Los atacantes podrían utilizar dicha información para aprovechar los puntos débiles del software instalado. Puedes dificultar el trabajo a los atacantes ocultando dicha información sensible

Ocultar la versión del servidor Apache

El servidor web Apache, que se utiliza frecuentemente, cuenta con una configuración que impide publicar información sensible.

Abre la configuración de tu servidor web Apache y realiza los siguientes ajustes:

ServerTokens Prod

ServerSignature Off

Algunos servidores web Apache están configurados de forma que emiten un informe detallado de estado en formato página web. En dicho caso, procede de la siguiente manera:

  • Comprueba si tu servidor web ofrece un informe de estado.
    Para ello, introduce en tu navegador tu dominio seguido de /server-info (p. ej. http://ejemplo.mx/server-info)
    Si aparece una página con información técnica sobre tu servidor web, tu servidor es vulnerable.
  • Busca el siguiente bloque en la configuración de tu servidor web:
    <Location "/server-status">
        SetHandler server-status
    </Location>
  • Ajusta la configuración para que la página no ofrezca más acceso público:
    <Location "/server-status">
        SetHandler server-status
        Order deny,allow
        Deny from all
    </Location>
  • Reinicia el servidor web Apache para cargar la configuración modificada.

Encontrarás más información en la documentación oficial de Apache.