Как я могу скрыть, что я использую для запуска своего сайта?

Могу ли я что-нибудь сделать, чтобы кто-то не узнал, что мой сайт использует Drupal, посмотрев на исходный код главной страницы? Я имею в виду людей, которые сканируют сайты с помощью программного обеспечения, которое обнаруживает программное обеспечение, используемое для запуска сайта, чтобы иметь возможность атаковать его с помощью любого известного слабого места.

Если невозможно полностью скрыть тот факт, что сайт использует Drupal, возможно ли, по крайней мере, перепутать их (например, добавив псевдонимы страниц узла с такими URL-адресами http://example.com/servlets/<node-id>.jsp)?

Это старый и уже отвеченный вопрос, но я недавно приложил некоторые усилия, чтобы написать описание всех вещей, которые вам нужно изменить:

• Удалить мета генератор для Drupal 7
• Удалите контрольный текст, такой как CHANGELOG.txt
• Проверьте заголовок Expires
• Прогулочные каталоги для HTTP 200/404/403 кодов состояния
• Ищите текстовые сообщения по умолчанию - настраивайте все сообщения, обращенные к пользователю
• Посмотрите на HTML - HTML по умолчанию из ядра и модулей является сигнальным знаком

По сути: технически можно скрыть тот факт, что ваш сайт работает на Drupal, но вы потратите на него столько времени, что оно того не стоит. Вместо этого вам следует сосредоточиться на обеспечении его безопасности и безопасных операциях (например, возможность быстрого развертывания обновлений, мониторинг журналов и т. Д.).

Вы не можете скрыть это полностью. Большая часть того, что нужно для этого, потребует взлома ядра. Самое важное, что это Drupalпеременная JavaScript, которую можно прочитать с главной страницы или любой другой страницы в этом отношении.

Если вы хотите повысить безопасность своих сайтов, скрывая, что это сайт Drupal, ваши усилия лучше потратить на обзоры кода, чем на то, чтобы скрыть тот факт, что сайт создан с помощью Drupal.

Это слишком легко сделать, Киам!

• Используйте обратный прокси-сервер или настройте http-демон для фильтрации надоедливого http-заголовка Drupal
• Запретить http доступ к любым папкам по умолчанию в Drupal
• Используйте выходную буферизацию PHP, чтобы переписать и скрыть ваш HTML-источник, удалить ненужные данные
• Используйте псевдоним URL или custom_url_rewrite_in / outbound, чтобы превратить ваши URL в беспорядок
• Изменить ошибку 404 по умолчанию, удалить / изменить update.php
• Внесите любые другие изменения, если кто-то узнает

И последнее, но не менее важное: убедитесь, что ваш сайт настолько прост, что не требует JS или CSS для нормального поведения (не используйте Views или Ctools ...), не поддерживает аутентификацию пользователей и т. Д., Что означает, что ваш сайт должен быть таким же простым, как статический HTML-сайт.

Хорошо, все это, чтобы заставить людей поверить, что ваш сайт не работает под Drupal. В любом случае, безопасность по неизвестности бесполезна.

Есть официальная статья и обсуждение относительно того же самого .

Ты не можешь Не пытаться

• Автоматические атаки (безусловно, наиболее распространенные атаки) даже не проверяют сервер, прежде чем пытаться использовать его .
  Проверка журналов любого высококлассного сайта будет показывать тысячи бесплодных просьб о /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi... и любого количества попыток исторических подвигов на любой несвязанной системе.
  Атаки на эксплойты происходят, даже если эксплойты не существуют в вашей ОС или CMS. Что бы вы ни делали, чтобы неправильно идентифицировать ваш сайт, хакеры-любители все равно будут игнорировать.
• Что бы вы ни думали, что можете скрыть, для любой системы есть и другие подсказки .
  Простое удаление некоторых из всех строк, содержащих «drupal», не замаскирует ваш сайт в разумных пределах. Существуют десятки способов, позволяющих угадать, что обслуживает ваши страницы, даже выделенные сервисы, позволяющие определить, работает ли на этом сайте Drupal. Только ключевые слова, которые вы признаете и считаете угрозой, представляют собой небольшую часть реальных показателей.
  Попросите index.php /? Q = пользователя. Затем попробуйте отключить этот ответ, не нанося вред вашему сайту.
• Безопасность по неизвестности - это не безопасность. Это создает ложное впечатление того, что он «в безопасности», когда вы скрываете уязвимости только за дымовой завесой, которую сможет увидеть любой злоумышленник, представляющий реальную угрозу.
• Хотя не совсем невозможно взломать код до такой степени, что большинство следов Drupal скрыты от исходного кода HTML (в конце концов, это открытый источник), необходимые для этого шаги обязательно сломают ядро ​​настолько сильно, что ваша взломанная ветвь кода было бы несовместимо с реальными обновлениями безопасности, которые вы не могли бы исправить, и было бы действительно открыто для любых реальных будущих угроз, выявленных группой безопасности. Это верный путь к уязвимости системы.
• Большинство значимых или полезных модулей имеют свой собственный код «подписи», который трудно скрыть без существенных переписываний. Если вы используете «views», «cck», «ad», «imagecache», «jquery», css-агрегацию, добавленные темы или что-нибудь полезное на вашем сайте - кто-то может подсказать . Скрытие всего этого обычно требует полного преобразования функций темы - по крайней мере. Даже тогда, запутывание, вероятно, не сработает .
• Чтобы удалить идентификацию многих расширенных функций, таких как даже простая установка Google Analytics, которая может использовать библиотеки Drupal для работы, вы должны либо вообще отказаться от этих функций, либо переписать их так, чтобы не использовать преимущества инфраструктуры Drupal. , Иногда это возможно, но во всех случаях это контрпродуктивно.

Вы можете быть заинтересованы в чтении Безопасность вашего сайта тоже.

Помни Никогда не взламывай ядро

Нет смысла скрывать, что на вашем сайте работает Drupal. Это неправильный взгляд на разработку сайтов. На чем вы должны сосредоточиться - это на безопасности. Убедитесь, что вы реализуете все меры по ценным бумагам, и все будет хорошо. В мире нет ни одной причины скрывать, что вы используете определенную систему управления контентом или другое программное обеспечение. С такими аддонами FF, как Wappalyzer, вы можете мгновенно определить, использует ли сайт Drupal, поэтому вопрос довольно спорный.

Вы можете также использовать модуль File Aliases для изменения структуры файла по умолчанию.

Модуль « Псевдонимы файлов » позволяет вам использовать настраиваемые псевдонимы токенов для загруженных файлов, что дает вам возможность поддерживать вашу файловую систему в обычном порядке, обеспечивая при этом чистые пути (т. Е. Больше нет / sites / default / files /).

Я согласен с другими людьми, что вы не можете скрыть это полностью. Если вы посмотрите на источник HTML, вы заметите, что много раз файлы CSS и JavaScript не агрегировались. Агрегация CSS и JavaScript должна быть включена.

В прошлом я обменивал свои шрифты на типичные шрифты проекта Ruby, такие как Lucida Sans, также увеличивая размер ввода, как это делают все модные дети.

Еще один недостаток - рисунок «пульсирующий» для полей автозаполнения. Это также не работает, когда вы увеличиваете размер ввода. Вот что вы можете украсть: http://beta.seattlebedandbreakfast.com/misc/throbber.gif