Web sunucunuzun arayüzünü yönetmek için Plesk Panel kullanıyorsanız muhtmelen websiteniz (websiteleriniz) bu bilgiyi tüm dünya ile paylaşıyordur. Plesk arkadaşımız bu bilgiyi paylaşmaktan kendi adına mutluluk duysa da biz olası güvenlik açıklarından dolayı sunucumuzun hedef gösterilmesini istemeyiz. Bu işlemi Plesk Panel üzerinde ilgili bir websitesi için yapabildiğimiz gibi bir şablon dosyası düzenleyerek bunu sunucu geneli tüm websitelerine uygulayarak da yapabiliriz.
Gelelim bu işlemi neden yaptığımıza.
Özetleyecek olursak her yazılımda olduğu gibi web dünyasının en populer sunucu yönetim paneli yazılımı olan Plesk arkadaşımızın da sonuçları bizi üzen güvenlik açıkları çıkmaktadır. Websitemiz, kullandığımız yazılımlar, uygulamalar ne kadar güvenli olursa olsun sunucumuz güvenli değilse ya da bir önemli güvenlik açığı çıkmışsa bundan faydalanmak isteyen kişilere ne tür sunucu yazılımı kullandığımızı hangi versiona sahip olduğu gibi bilgileri vermememiz iyi olacaktır.
Panelinizde sınırlı sayıda websitesi var ve bunu web panelin görsel arayüzünü kullanarak yapabilirsiniz. Temelde yapmamız gereken ilgili web sitesine bir komut girşi yapmak ya da bu bilgiyi yayın yapan ilgili şablon dosyasını bulup ilgili satırı temizlemek.
X-Powered-By: PleskLin bilgisini kaldırmak için temel iki yöntem adım adım aşağıda anlatılmıştır sizin için uygun olan yöntemi ile bu yazıyı takip edebilirsiniz.
X-Powered-By: PleskLin durumunu kontrol etme
Öncelikle aşağıdaki komut ile web sitenizin bu bilgiyi verip vermediğini kontrol ediniz.
[~]# curl -I https://www.orneksite.com
HTTP/2 200
date: Sun, 01 Mar 2020 20:00:34 GMT
content-type: text/html; charset=UTF-8
Connection: keep-alive
<span style="color: #00ff00;">X-Powered-By: PleskLin</span>
***Çıktı ekranında X-Powered-By: PleskLin ifadesini görmemiz gerekiyor şayet sizin ekranınızda bu ifade yer almıyorsa bundan sonrası adımları uygulamanıza gerek yok. (Yine de öğrenme amaçlı yazıyı okumaya devam edebilirsiniz)
Plesk Panel Kullanarak X-Powered-By: PleskLin Üst Bilgisi Kaldırma
Bir websitesi için X-Powered-By: PleskLin üst bilgisi yazısını kaldırmanın en pratik yöntemidir diyebiliriz. Bu yöntemi bir ya da bir kaç tane websiteniz varsa öneririm çünkü aynı adımları az sayıda web sitesi için tek tek uygulamak (çok da teknik bilgi gerektirmediğinden) daha pratiktir. (Sunucunuzda çok sayıda websitesi barınıyorsa bir sonraki adım biraz teknik adımlar içerse de çok daha pratik olacaktır.)
- Plesk Panel ayayüzüne giriş yapınız
(Ör: https://example.com:8443) - Sırasıyla Alan Adları > orneksite.com > Apache & Nginx Ayarları > menu adımlarını takip edin Ek nginx direktifleri giriş alanına
Header unset X-Powered-Bysatırını ekleyiniz> Tamam diyerek işlemi sonlandırın.
Websitemiz için X-Powered-By: PleskLin üst bilgisi kaldırılmış olacaktır. Aynı işlemi istediğiniz diğer websiteleriniz için uygulayabilirsiniz. Sonucu test etmek için test aşaması adımına geçiş yapabilirsiniz. (Kendileri yazının sonunda)
Tüm siteler için X-Powered-By: PleskLin Üst Bilgisi Kaldırma
- Sunucumuza ssh üzerinden giriş yapalım.
[~]# ssh [email protected] - Özel şablon dosyamız için bir klasör oluşturalım
[~]# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain - Varsayılan şablon dosyalarını oluşturduğumuz klasöre kopyalayalım.
[~]# cp /usr/local/psa/admin/conf/templates/default/server.php /usr/local/psa/admin/conf/templates/custom [~]# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain [~]# cp /usr/local/psa/admin/conf/templates/default/domain/nginxForwarding.php /usr/local/psa/admin/conf/templates/custom/domain - Editor ile server.php dosyasını açıp Header add X-Powered-By PleskLin geçen satırı silip dosyayı kayıt edelim.
[~]# vi /usr/local/psa/admin/conf/templates/custom/server.php - Editor ile nginxDomainVirtualHost.php dosyasını açıp add_header X-Powered-By PleskLin; ilgili satırı silip dosyayı kayıt edelim.
[~]# vi /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php - Editor ile nginxForwarding.php dosyasını açıp add_header X-Powered-By PleskLin; ilgili satırı silip dosyayı kayıt edelim.
[~]# vi /usr/local/psa/admin/conf/templates/custom/domain/nginxForwarding.php - Yapılan değişikliklerin sunucu geneli tüm siteler için geçerli olması için aşağıdaki komutu uygulayalım.
[~]# /usr/local/psa/admin/sbin/httpdmng --reconfigure-all
Sonucu Test Eme
Yaptığımız ayarların geçerli olup olmadığını test edelim, bunun için ilgili sunucumuz üzerinde olan herhangib bir siteyi seçebilirsiniz.
curl -I https://www.orneksite.com
HTTP/2 200
date: Sun, 01 Mar 2020 20:03:34 GMT
content-type: text/html; charset=UTF-8
set-cookie: __cfduid=d4e666***; expires=Tue, 31-Mar-20 20:03:34 GMT; path=/; domain=.orneksite.com; HttpOnly; SameSite=Lax; Secure
last-modified: Sun, 01 Mar 2020 19:59:48 GMT
vary: Accept-Encoding,User-Agent
cache-control: max-age=0, no-cache, no-store, must-revalidate
expires: Mon, 29 Oct 1923 20:30:00 GMT
pragma: no-cache
strict-transport-security: max-age=15552000; includeSubDomains; preload
cf-cache-status: DYNAMIC
expect-ct: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
alt-svc: h3-27=":443"; ma=86400, h3-25=":443"; ma=86400, h3-24=":443"; ma=86400, h3-23=":443"; ma=86400
x-content-type-options: nosniff
server: cloudflare
cf-ray: 56d57b6b2a76fcfd-OTPKontrol ettiğimizde artık sunucumuz test ettiğimiz alan adı için üst veri bilgisi olarak X-Powered-By: PleskLin bilgisini vermemektedir.
