Nginx : supprimer le header Server

Dans ce tutoriel, je vais vous expliquer comment supprimer le header server sur Nginx mais pas que…

Comme vous pouvez le voir sur la capture ci-dessous, dans la réponse, on peut voir le serveur : Microsoft-IIS/8.5 et la version de PHP et ASP avec les headers X-Powered-By.

Pour supprimer le header server, nous allons utiliser le module http-headers-more-filter.

Vérifier que le module est présent :

nginx -V 2>&1 | grep --color 'http-headers-more-filter'

Pour supprimer les en-têtes (headers) ajouter dans la configuration de virtualhost les instructions suivantes pour supprimer les informations dans le bloc server{}.

more_clear_headers Server;
more_clear_headers X-Powered-By;

Sauvegarder la configuration et recharger la configuration.

sudo systemctl reload nginx

Maintenant les informations server et X-Powered-By ne sont plus envoyées au client.


Pourquoi supprimer les headers server et X-Powered-By ?

La réponse est assez simple, c’est pour réduire les informations que vous envoyez sur Internet afin de ne pas divulguer aux « pirates » le type de serveur Web et le système d’exploitation, ce qui permet de réduire le risque d’exploitation d’une faille surtout si le serveur et les composants ne sont pas à jour.




Laisser un commentaire