1. Скрываем лишнюю информацию.

По умолчанию сервер выдает слишком много информации, просто сливает нужную информацию хаккерам.

Например в заголовках сервера, а так же при выводе стандартных служебных страниц типа 404 можно видеть подобное

Apache/2.2.12 (Win32) DAV/2 mod_ssl/2.2.12 OpenSSL/0.9.8k mod_autoindex_color PHP/5.3.0 mod_perl/2.0.4 Perl/v5.10.0

То есть абсолютно любой прохожий знает какой версии стоит апач, какая операционка, какие модули и т.д.

Всю эту информацию не стоит всем светить, особенно когда сервер стоит под windows.

Если вы устанавливали apache с помощью xampp, тогда открывайте файл конфига

/xampp/apache/conf/extra/httpd-default.conf

(если нет такого файла, открывайте файл httpd.conf)

здесь находите команду "ServerTokens", это и есть объем показываемой информации о сервере.

Меняем значение на такое ServerTokens Prod.

В этом случае светится будет только название сервера.

Кроме этого заголовка сервер выдает еще один не приятный заголовок

X-Powered-By:

Этот заголовок появляется когда информация выводится с помощью PHP скрипта.

Если запросить статический html документ, то этого заголовка не будет, но если информацию на страницу выведет PHP скрипт, то в этом заголовке будет подобное

X-Powered-By: PHP/5.2.5

То есть заголовок объясняет всем, что страница создана с помощью PHP и показывает версию PHP.

Даже если вы используете mod rewrite и обращаетесь к страницам как к статическим документам, то этот заголовок все равно расскажет всем, что страница создана с помощью PHP.

Лучше всего убрать этот заголовок. Полезно, если вы хотите замаскировать свой сайт под полностью статический, ну и хулиганы лишний раз не узнают версию PHP.

Для этого потребуется конфиг php.ini

Обычно он лежит в папке php, но может быть и в других местах, да еще и в нескольких экземплярах.

Чтобы точно найти нужный php.ini, выполните phpinfo(); в скрипте и найдите параметр Loaded Configuration File, тут и будет путь до конфига php.

Открываем php.ini и находим

expose_php = on

меняйте значение на off

2. Листинг директории.

Если в директории нет индексного файла, то по умолчанию сервер покажет список всех файлов и директорий.

Во многих случаях этого делать не нужно, зачем всем показывать, что лежит в вашей папке.

Чтобы запретить листинг директорий открываем файл

/xampp/apache/conf/httpd.conf

Внутри тега <Directory "/xampp/htdocs"> должен быть Options с различными параметрами. Среди этих параметров должен быть Indexes, вот именно Indexes удалите.

Теперь при попытке просмотреть директорию без индексного файла будет получена ошибка 403.

3. Типы файлов (MIME types)

Когда с сервера запрашивается какой-либо файл, apache прежде выясняет какой тип имеет этот файл (картинка, текстовый файл, архив, и т.д.). После этого сервер посылает заголовок, в котором указано какой тип файла сейчас будет отдан. Браузер получает этот заголовок и на основании него решает, что делать с этим файлом.

До недавнего времени по умолчанию в apache отсутствовал тип файлов RAR, всем известный архив. И если вы разместите на своем сайте файл rar, то например браузер OPERA вместо скачивания этого файла начнет открывать его в браузере как текстовый файл и будут видны непонятные символы. Чтобы этого не было, нужно добавить на сервер тип файлов RAR.

Если установку делали через XAMPP, то настройки типов файлов тут

/xampp/apache/conf/mime.types

Нужно добавить строку

application/x-rar-compressed rar