Если вы хотите по максимуму защить ваш web-сервер и ваш сайт, то необходимо как можно сильнее затруднить потенциальным злоумышленникам доступ к любой служебной информации о вашем сайте. Как известно, по умолчанию, PHP при генерации страницы, вставляет заголовок со своей версией в заголовки ответа web-сервера. Вы можете это увидеть, например, воспользовавшись утилитой curl с ключиком -v, например:

curl -v http://www.yoursite.com

и в результате получите перед выводом самой главной страницы сайта заголовки HTTP-сервера, что-то типа:

* About to connect() to www.yoursite.com port 80 (#0)
*   Trying xxx.xxx.xxx.xxx...
* Connected to www.yoursite.com (xxx.xxx.xxx.xxx) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: www.yoursite.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx/1.0.6
< Date: Sat, 07 Feb 2015 07:19:36 GMT
< Content-Type: text/html; charset=windows-1251
< Transfer-Encoding: chunked
< Connection: keep-alive
< X-Powered-By: PHP/5.1.6
....

Как видите, строка с заголовком X-Powered-By: содержит версию PHP, используемую на вашем сайте. Но этот заголовок можно выключить, если в php.ini добавить строку:

expose_php = Off

И перезапустить ваш веб-сервер.