blog webempresa

Ocultar la versión PHP que se ejecuta en el servidor

por Antonio Muñoz | Oct 20, 2020 | Aprender WordPress

WordPress está desarrollado con PHP, por lo que para poder ejecutar una web de este tipo necesitaremos alojarla en un servidor que esté preparado para ejecutar este lenguaje de programación.

En algunos casos, puede existir una vulnerabilidad por la que un usuario malintencionado podría llegar a obtener la versión de PHP que se está ejecutando en el servidor, así con otro tipo de información sensible, utilizando para ello una serie de cabeceras HTTP con unos argumentos específicos.

Esto ocurre cuando el parámetro expose_php de PHP no se encuentra desactivado.

El hecho de que se pueda saber la versión de PHP que se está ejecutando podría llegar a suponer un problema de seguridad en WordPress, especialmente si la versión que se está utilizando es muy vieja y contiene agujeros de seguridad conocidos. Es preferible ocultar esta información.

Si tenemos acceso al archivo php.ini, donde se guarda la configuración de PHP, podremos arreglar este problema de forma sencilla, simplemente agregando la línea expose_php = Off.

En caso de que ya tuviéramos la línea expose_php = On bastará con cambiar el valor On a Off.

En caso de que no tengamos acceso a la configuración de PHP, lo más común cuando hemos contratado un servicio de hosting, deberemos solicitar este cambio a los proveedores del servicio.

Si esto último tampoco es posible, podemos añadir unas líneas de código en el archivo .htaccess de la raíz de la web para evitar que se muestre la versión de PHP a través de un “huevo de pascua” que incorpora este lenguaje.

NOTA: Para los clientes de Webempresa ya está por defecto en OFF la versión PHP y no se puede cambiar a ON.

Tabla de contenidos

1 Ocultar la versión PHP
- 1.1 ¿Te ha resultado útil este artículo?

Ocultar la versión PHP

ServerTokens Prod
ServerSignature Off
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]

En todo caso, estas líneas no evitarán que en las cabeceras HTTP siga saliendo la versión de PHP que se ejecuta, por lo que la solución correcta sería el cambio en el archivo php.ini anteriormente comentado.

De esta forma estaremos algo más protegidos. Aunque este tema no se puede considerar una agujero de seguridad grave, nunca está de más ocultar esta información.