Beim Abruf einer Website übertragen manche Server-Programme weitere Informationen, zum Beispiel die eingesetzte Server-Version, das benutzte Betriebssystem oder eingesetzte Plug-ins.

Angreifer könnten diese Information nutzen, um gezielt Schwachstellen der eingesetzten Software auszunutzen. Erschweren Sie Angreifern ihre Arbeit, indem Sie diese sensiblen Informationen verstecken.

Apache Server-Version verstecken

Für den häufig eingesetzten Apache Webserver gibt es Einstellungen, um die Herausgabe sensibler Informationen zu unterbinden.

Öffnen Sie die Konfigurationen Ihres Apache Webservers und setzen Sie folgende Einstellungen:

ServerTokens Prod

ServerSignature Off

Manche Apache Webserver sind so konfiguriert, dass sie einen detaillierten Status-Report als Website ausliefern. In diesem Fall gehen Sie folget vor:

  • Überprüfen Sie, ob Ihr Webserver einen Status-Report bietet.
    Geben Sie dazu in Ihrem Browser Ihre Domain gefolgt von /server-info ein (z.B. http://beispiel.de/server-info).
    Wenn jetzt eine Seite mit technischen Informationen zu Ihrem Webserver erscheint, ist Ihr Webserver anfällig.
  • Suchen Sie in Ihrer Webserver-Konfiguration nach folgendem Block:
    <Location "/server-status">
        SetHandler server-status
    </Location>
  • Passen Sie die Konfiguration so an, dass die Seite nicht öffentlich aufrufbar ist:
    <Location "/server-status">
        SetHandler server-status
        Order deny,allow
        Deny from all
    </Location>
  • Starten Sie den Apache Webserver neu, um die angepasste Konfiguration zu laden.

Weitere Informationen finden Sie in der offiziellen Apache-Dokumentation.