Gelelim bu işlemi neden yaptığımıza.

Özetleyecek olursak her yazılımda olduğu gibi web dünyasının en populer sunucu yönetim paneli yazılımı olan Plesk arkadaşımızın da sonuçları bizi üzen güvenlik açıkları çıkmaktadır. Websitemiz, kullandığımız yazılımlar, uygulamalar ne kadar güvenli olursa olsun sunucumuz güvenli değilse ya da bir önemli güvenlik açığı çıkmışsa bundan faydalanmak isteyen kişilere ne tür sunucu yazılımı kullandığımızı hangi versiona sahip olduğu gibi bilgileri vermememiz iyi olacaktır.

Panelinizde sınırlı sayıda websitesi var ve bunu web panelin görsel arayüzünü kullanarak yapabilirsiniz. Temelde yapmamız gereken ilgili web sitesine bir komut girşi yapmak ya da  bu bilgiyi yayın yapan ilgili şablon dosyasını bulup ilgili satırı temizlemek.

X-Powered-By: PleskLin bilgisini kaldırmak için temel iki yöntem adım adım aşağıda anlatılmıştır sizin için uygun olan yöntemi ile bu yazıyı takip edebilirsiniz.

X-Powered-By: PleskLin durumunu kontrol etme

Öncelikle aşağıdaki komut ile web sitenizin bu bilgiyi verip vermediğini kontrol ediniz.

[~]# curl -I https://www.orneksite.com
HTTP/2 200
date: Sun, 01 Mar 2020 20:00:34 GMT
content-type: text/html; charset=UTF-8
Connection: keep-alive
<span style="color: #00ff00;">X-Powered-By: PleskLin</span>
***

Çıktı ekranında X-Powered-By: PleskLin ifadesini görmemiz gerekiyor şayet sizin ekranınızda bu ifade yer almıyorsa bundan sonrası adımları uygulamanıza gerek yok. (Yine de öğrenme amaçlı yazıyı okumaya devam edebilirsiniz)

Plesk Panel Kullanarak X-Powered-By: PleskLin Üst Bilgisi Kaldırma

Bir websitesi için X-Powered-By: PleskLin üst bilgisi yazısını kaldırmanın en pratik yöntemidir diyebiliriz. Bu yöntemi bir ya da bir kaç tane websiteniz varsa öneririm çünkü aynı adımları az sayıda web sitesi için tek tek uygulamak (çok da teknik bilgi gerektirmediğinden) daha pratiktir. (Sunucunuzda çok sayıda websitesi barınıyorsa bir sonraki adım biraz teknik adımlar içerse de çok daha pratik olacaktır.)

1. Plesk Panel ayayüzüne giriş yapınız
   (Ör: https://example.com:8443)
2. Sırasıyla Alan Adları > orneksite.com > Apache & Nginx Ayarları > menu adımlarını takip edin Ek nginx direktifleri  giriş alanına

   Header unset X-Powered-By

   satırını ekleyiniz> Tamam  diyerek işlemi sonlandırın.

Websitemiz için X-Powered-By: PleskLin üst bilgisi kaldırılmış olacaktır.  Aynı işlemi istediğiniz diğer websiteleriniz için uygulayabilirsiniz. Sonucu test etmek için test aşaması adımına geçiş yapabilirsiniz. (Kendileri yazının sonunda)

Tüm siteler için X-Powered-By: PleskLin Üst Bilgisi Kaldırma

1. Sunucumuza ssh üzerinden giriş yapalım.

   [~]# ssh root@orneksite.com

2. Özel şablon dosyamız için bir klasör oluşturalım

   [~]# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain

3. Varsayılan  şablon dosyalarını oluşturduğumuz klasöre kopyalayalım.

   [~]# cp /usr/local/psa/admin/conf/templates/default/server.php /usr/local/psa/admin/conf/templates/custom
   [~]# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain
   [~]# cp /usr/local/psa/admin/conf/templates/default/domain/nginxForwarding.php /usr/local/psa/admin/conf/templates/custom/domain

4. Editor ile  server.php dosyasını açıp Header add X-Powered-By PleskLin geçen satırı silip dosyayı kayıt edelim.

   [~]# vi /usr/local/psa/admin/conf/templates/custom/server.php

5. Editor ile nginxDomainVirtualHost.php dosyasını açıp add_header X-Powered-By PleskLin; ilgili satırı silip dosyayı kayıt edelim.

   [~]# vi /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php

6. Editor ile nginxForwarding.php dosyasını açıp add_header X-Powered-By PleskLin; ilgili satırı silip dosyayı kayıt edelim.

   [~]# vi /usr/local/psa/admin/conf/templates/custom/domain/nginxForwarding.php

7. Yapılan değişikliklerin sunucu geneli tüm siteler için geçerli olması için aşağıdaki komutu uygulayalım.

   [~]# /usr/local/psa/admin/sbin/httpdmng --reconfigure-all

Sonucu Test Eme

Yaptığımız ayarların geçerli olup olmadığını test edelim, bunun için ilgili sunucumuz üzerinde olan herhangib bir siteyi seçebilirsiniz.

curl -I https://www.orneksite.com

HTTP/2 200
date: Sun, 01 Mar 2020 20:03:34 GMT
content-type: text/html; charset=UTF-8
set-cookie: __cfduid=d4e666***; expires=Tue, 31-Mar-20 20:03:34 GMT; path=/; domain=.orneksite.com; HttpOnly; SameSite=Lax; Secure
last-modified: Sun, 01 Mar 2020 19:59:48 GMT
vary: Accept-Encoding,User-Agent
cache-control: max-age=0, no-cache, no-store, must-revalidate
expires: Mon, 29 Oct 1923 20:30:00 GMT
pragma: no-cache
strict-transport-security: max-age=15552000; includeSubDomains; preload
cf-cache-status: DYNAMIC
expect-ct: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
alt-svc: h3-27=":443"; ma=86400, h3-25=":443"; ma=86400, h3-24=":443"; ma=86400, h3-23=":443"; ma=86400
x-content-type-options: nosniff
server: cloudflare
cf-ray: 56d57b6b2a76fcfd-OTP

Kontrol ettiğimizde artık sunucumuz test ettiğimiz alan adı için üst veri bilgisi olarak X-Powered-By: PleskLin bilgisini vermemektedir.

Sonrası X-Powered-By: PleskLin Üst Bilgi Yazısını Kaldırma Ahmet Bolu ilk ortaya çıktı.