如何在宝塔面板中隐藏NGINX和PHP版本号？如何禁用危险功能？

宝塔面板中安装的PHP默认没有隐藏版本号，例如：

1. Web技术应用研究公司W3Techs最近报告称，基于截至1月份所有网站使用的PHP版本2019年1月1日，近62%的网站因无法获取安全更新而受到恶意攻击。
2. 根据 W3Techs 的调查显示，截至本月 15 日，PHP 占受访网站样本的比例高达 %，其中使用 PHP 5 的网站比例为 %。在颠覆中，使用 PHP 5.6 版本的站点百分比为 %，其中版本 5 的百分比最高。
3. 根据PHP官网列出的支持版本和时间表（如下），PHP 5.6于2014年发布，主要支持于2017年1月19日关闭，安全支持将于2018年12月31日结束。
4. 较新的 PHP 7.0 将于今年 12 月 1 日停止提供安全支持。甚至该版本也会在 12 月 1 日结束。信息安全支持在一年后结束。

这就是为什么隐藏PHP版本号和PHP服务确实可以解决一些问题！可以说是非常好用了！因此，VPS科普网在这篇文章中介绍了如何隐藏PHP版本号以及禁用PHP中一些常见的危险功能。 ？我们来看看Web服务器头如下：

这样我们就可以隐藏PHP版本号。

2：NINGX版本号隐藏

NINGX版本号在宝塔面板和整个系统中默认是隐藏的。如果您的未隐藏或由于某种原因规则已更改，我们会添加 server_tokens off 进行更改。具体方法如下：

http{            
  ……省略         
  limit_conn_zone $binary_remote_addr zone=perip:10m;	
  limit_conn_zone $server_name zone=perserver:10m;         
  server_tokens off;        
  access_log off;       
   ……省略
   }

安装并重启Nginx后，我们可以用命令测试一下：

curl -I

拖拽图片看效果：

检查PHP版本号和Nginx版本号是否隐藏，宝塔面板默认是隐藏的，如果是其他面板或者外壳，可以看这里。

三：危险函数

宝塔面板PHP管理有危险函数管理。 PHP管理→禁用功能如下：

这个面板够贴心了。即使是常用的危险功能也默认被禁用。如果您还有其他功能需要删除，可以在上面添加并保存。如果您想使用某些功能，您可以禁用禁用的功能并使其可用。

建议在主机上删除的功能：

disable_functions = system,exec,Shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname

打开并找到这一行：disable_functions =将要删除的功能添加到末尾。如果禁用多个功能，请用半角逗号分隔它们。 。

宝塔面板使这些仅是视觉上的。让我们看一下 Pagoda 面板已弃用的源代码。路径为：/www/server/php/72/etc/

此功能由您自行决定。处理它。

四：总结

宝塔面板默认不隐藏PHP版本号，默认隐藏Nginx版本号，默认禁用常用危险功能。

所以我们只需要隐藏PHP版本号即可。还有一点值得注意：新网站的默认值需要删除，因为泄露的信息太多。