Ocultar la versión de Apache y PHP en las cabeceras

Posted on diciembre 13, 2011 por Víctor Iglesias Castán

Depende de cómo esté configurado Apache puede estar proporcionando a cualquier curioso con intenciones poco agradables información sobre la versión que se está usando de PHP y de Apache, sabiendo la versión del programa se pueden encontrar con gran facilidad exploits en Internet para vulnerabilidades conocidas. Aquí pueden ver las cabeceras de un Apache que habla demasiado:

Cabeceras con demasiada información

Para que Apache oculte su versión existe la directiva ServerTokens desde la versión 2.0.44 Aquí están los resultados que dan sus opciones:

ServerTokens Prod[uctOnly] => Server: Apache
ServerTokens Major => Server: Apache/2
ServerTokens Minor => Server: Apache/2.0
ServerTokens Min[imal] => Server: Apache/2.0.41
ServerTokens OS => Server: Apache/2.0.41 (Unix)
ServerTokens Full => Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2

Como podemos ver, ServerTokens Prod es la que más nos conviene pues es la que da menos información. Desde la versión 2.0.44 está directiva controla la directiva ServerSignature. Para una versión anterior deberíamos usar ServerSignature Off además de ServerTokens.

En la imagen también podemos ver un «X-Powered-By» que proporciona la versión de PHP, lo cual tampoco es nada conveniente. Para evitarlo en el fichero de configuración de PHP php.ini debemos poner a Off la directiva «expose_php».

Resumiendo, en httpd.conf debemos tener:

ServerTokens Prod

# Opcionalmente:
ServerSignature Off

Y en php.ini:

expose_php = Off

Así obtendremos unas cabeceras más discretas:

Cabeceras sin excesiva información

INFORMACIÓN IMPORTANTE: esto para nada substituye la necesidad de mantener nuestro software actualizado. Tan sólo evita hacerle la vida demasiado fácil a un atacante. Debemos tener en cuenta que mediante herramientas como los scanners de «seguridad» como nmap es posible saber la versión de los servicios que corre un servidor. Por no hablar de worms que van probando servidores y, a veces sin ni tan siquiera haber comprobado previamente la versión, van lanzando exploits en busca de una vulnerabilidad explotable.

Sitio migrado de Drupal a WordPress

Posted on diciembre 10, 2011 por Víctor Iglesias Castán

Acabo de migrar el sitio de Drupal 6 a WordPress. Ciertamente podría haberlo actualizado a la versión 7 de Drupal pero dos razones me han llevado a pasarme a WordPress. La primera es que la mayor parte del potencial de Drupal se desaprovecha en VIC Services, este sitio es un blog y para un blog WordPress es una opción más que rodada: lleva años funcionando en millones de blogs. Extremadamente sencillo de instalar y mantener, las tareas de mantenimiento me consumen un tiempo mínimo. La segunda razón es que la última vez que creé un blog con WordPress fue a principios del 2009 y tenía curiosidad en conocer su estado actual.

Sigo creyendo en lo que dije aquí, pero para cada quehacer su herramienta. ¡Espero que les guste el sitio!

En casa del herrero cuchara de palo

Posted on octubre 5, 2011 por Víctor Iglesias Castán

Hoy en día la promoción de nuestro sitio en redes sociales puede aportarnos más del 20% del tránsito a nuestra web. La supremacía que hasta hace poco tenían los buscadores o mejor dicho el buscador, Él, Google, se ha ido debilitado a medida que el uso de las redes sociales ha ido en aumento. Tanta es su importancia que Google, después de dos fracasos consecutivos llamados Wave y Buzz, vuelve a intentarlo una vez más con Google+. Si la copia es la mayor adulación, sin duda Google adula a Twitter, Facebook, LinkedIn y demás redes aun a costa de todo lo que ha invertido en su buscador.

Eso sí, yo no recomendaría usar Facebook y/o Twitter como los medios para dar a conocer su negocio en Internet y relacionarse con sus clientes sino como unos medios que se añaden a los buscadores para atraer los clientes a la web de su empresa.

Mientras voy repitiendo una y otra vez esto aquí ha estado mi pobre web sin volverse social. No fue hasta hace unos pocos meses que incorporé el botón de Twitter y hace poquito que le agregamos el botón «+1» de Google. Si se está preguntando dónde está el botón «Me gusta» de Facebook le respondo que lo tengo bajo observación después de ciertas polémicas sobre el botón y la privacidad de los usuarios.

Por cierto, un detalle que me molesta de los botones de Twitter, Facebook y Google+ es que no son XHTML Estrict. En el link de Twitter añaden sus propios atributos como «data-count» o «data-via». También Google parece que pretenda reinventar el HTML con atributos como «data-annotation» o «data-size». Por supuesto lo podemos solucionar mediante el empleo de Javascript, pero ya saben: «en casa del herrero… «. A ver cuando encontramos un huequito en la agenda…

Guía Cirugía ya está disponible

Posted on septiembre 21, 2011 por Víctor Iglesias Castán

Si en febrero les anunciaba el inicio del proyecto hoy les anuncio que Guía Cirugía ya está disponible online, si bien todavía queda mucho trabajo de cambios y optimizaciones.

Guía Cirugía es un directorio donde cirujanos plásticos de América Latina y España pueden darse a conocer publicando su perfil que puede ser encontrado mediante el buscador del sitio web, publicando artículos especializados y respondiendo a las preguntas de los usuarios en el foro. Mediante Guía Cirugía los cirujanos plásticos consiguen clientes y los usuarios pueden resolver sus dudas sobre la cirugía en la que están interesados y ponerse en contacto con los cirujanos plásticos que deseen para comentar su caso.

Sobre el apartado técnico decir que usé tecnologías LAMP (Linux, Apache, MySQL y PHP), como es usual en los desarrollos de VIC Services. El sitio está íntegramente programado con el framework CakePHP y añadí un gestor de contenidos, integrado en la estructura de CakePHP, para que el cliente pueda gestionar la mayor parte de los contenidos de la web. El foro, también integrado dentro de CakePHP, dispone de un sistema propio de administración. En el lado cliente el uso de AJAX y jQuery confieren al sitio una mejor presentación y usabilidad.

Éste ha sido el proyecto al que más tiempo he dedicado en los últimos meses y estoy orgulloso de poder mostrarlo al mundo. Espero que les guste y si están interesados en alguna operación de cirugía estética no duden en usarlo 😉

Me voy de vacaciones

Posted on agosto 28, 2011 por Víctor Iglesias Castán

Me alegra informarles de que me voy a tomar unas (en mi opinión merecidas :-)) vacaciones desde el 1 de septiembre al 18 del mismo mes. ¡Volveré con energías renovadas!

Google Translate instalado en VIC Services

Posted on agosto 19, 2011 por Víctor Iglesias Castán

Hace meses que quería hacer nuestro sitio web multi idioma pero estando ocupado como estaba me he decidido por la opción más rápida: instalar el servicio de traducción de Google. Gracias a los nuevos sistemas de traducción basados en estadística la calidad de las traducción es elevada, ya no son aquellas traducciones con los significados literales de cada palabra de bastantes años atrás. Sin duda todavía no llega a la calidad de un traductor humano pero como contrapartida ustedes pueden disponer de VIC Services en muchos más idiomas que el usual inglés más el idioma «local».