宝塔面板 – NGINX、PHP版本号隐藏/危险函数的禁用

以下代码由PHP站长网 52php.cn收集自互联网现在PHP站长网小编把它分享给大家，仅供参考

宝塔面板对于 PHP 的管理确实很方便，软件商店里可以安装各种版本，还可以多版本共存，这个估计是 lnmp、oneinstack 这些命令脚本不能比拟的。但是，宝塔面板安装的 PHP 没有默认隐藏版本号，比如说这样的：

网络技术应用研究公司 W3Techs 近日表示，根据所有网站使用 PHP 版本的情况，从 2019 年 1 月 1 日起，有近 62％ 的网站将会因为无法获得安全更新，而受到恶意攻击。

根据 W3Techs 的调查，从本月 15 日开始，其研究的网站样本中使用的 PHP 的比例高达 78.9％，使用 PHP 5 的网站的比例达到 61.8％。 在子版本中，使用 PHP 5.6 版的网站的比例为 41.5％，使用版本 5 的比例最高。

根据 PHP 官方网站列出的支持版本及时刻表（如下），PHP 5.6 于 2014 年发布，主要支持已于 2017 年 1 月 19 日关闭，安全支持将于 2018 年 12 月 31 日终止。

较新的 PHP 7.0 将不再在今年 12 月 1 日的 EOL（生命周期结束）提供安全支持。 即便是版本 7.1 也将于 12 月 1 日终止。一年后结束安全支持。

因此，隐藏 PHP 版本号及 PHP 服务真的可以解决一些麻烦！可以说是非常的好用！所以大鸟就在这篇文章来唠叨下如何隐藏 PHP 版本号以及一些 PHP 常见危险函数的禁用。

一：隐藏 PHP 版本号

宝塔面板 PHP 管理找到 expose_php = On 改成 expose_php = Off 即可：

保存并重启 PHP 即可！我们在看下 Web 服务器头，如下：

这样我们就可以隐藏了 PHP 版本号。

二：NINGX 版本号隐藏

宝塔面板 5.9 至 6.9.3 全系默认都是已经隐藏了 NINGX 版本号，如果你的的没有隐藏或者因为某种原因更改过了规则，我们添加 server_tokens off 来更改。如下：

http{

?

……省略

?

limit_conn_zone $binary_remote_addr zone=perip:10m;

limit_conn_zone $server_name zone=perserver:10m;

?

server_tokens off;

access_log off;

?

……省略

}

设置好重启 Nginx，之后我们可以用命令测试下：

curl -I www.22vd.com

丢一张图看看效果：

看到 PHP 版本号和 Nginx 版本号都被隐藏，宝塔面板默认是隐藏了，如果是别的面板或者命令环境可以参考这里。

三：危险函数

宝塔面板 PHP 管理中有危险函数的管理，PHP 管理→禁用函数，如下：

这面板够贴心吧，连常用的危险函数已经默认给我们禁用了，如果你还有别的函数要禁用可以在上面添加保存。如果你需要用某些功能，那可以删除禁用函数，让其变的可用。

建议在主机上禁用的函数：

disable_functions = system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport,syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept,socket_connect,stream_socket_server,stream_socket_accept,stream_socket_client,ftp_connect,ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space,disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname

打开 PHP.INI，找到这行：disable_functions = 在后面那里加上要禁用的函数，如禁用多个函数，要用半角逗号,分开。

宝塔面板只是把这些变得可视化了，我们看看宝塔面板 PHP.INI 的这一段禁用的源代码,路径：/www/server/php/72/etc/php.ini

这个函数问题自己酌情对待吧。

四：总结

宝塔面板默认是没有隐藏 PHP 版本号的，Nginx 版本号是默认隐藏的，常用的危险函数是默认禁用的。

所以我们只需要把 PHP 版本号隐藏即可，还有一个地方值得注意：新建网站的默认 index.html 要删除，因为泄露的信息太多了，我们看图：

以上内容由PHP站长网【52php.cn】收集整理供大家参考研究如果以上内容对您有帮助，欢迎收藏、点赞、推荐、分享。

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!