Perché disabilitare expose_php dal proprio php.ini?

Tabella dei Contenuti

Si consiglia di tenere l’estensione expose_php disabilitata, in realtà l’estensione non crea nessun danno da sola al server, e non fa nulla di importante. L’estensione semplicemente mostra informazioni che un hacker potrebbe usare a proprio vantaggio. Quando expose_php è abilitato il server genera estensioni “X-Powered-By” che rilevano informazioni sulla versione di PHP in esecuzione sul tuo server. 

Non è un’impostazione che può essere usata per accedere al tuo sistema, ma permette a un malintenzionato e a molti malware di sfruttare vulnerabilità note della versione PHP in uso. Non sono informazioni per le quali vi è qualche motivo di informate i visitatori, quindi meglio disabilitarle. 

Se usiamo PrestaShop sicuramente non usiamo l’ultima versione di PHP, ma spesso versioni a fine supporto o non più supportate se utilizziamo per esempio versioni precedenti alla 1.7.5.X siamo vincolati a PHP 7.1 che non riceve più aggiornamenti di sicurezza da gennaio 2020, non va molto meglio con la versione 1.7.7.X dove potremo usare PHP 7.3 che riceverà solo gli aggiornamenti di sicurezza fino a gennaio 2022 (quindi per pochi mesi ancora). Purtroppo la versione di PrestaShop 1.7.7.8 che supporterà PHP 7.4 è in fase beta e non utilizzabile per un ecommerce in produzione. 

Proprio per questo motivo, è bene disabilitare expose_php.

Per disabilitarlo basta modificare o aggiungere nel nostro php.ini la seguente impostazione:

expose_php = Off

In Plesk potremo aggiungere la direttiva in PHP Setting ->Additional directives:

expose_php = Off;