¿Cómo puedo ocultar lo que estoy utilizando para ejecutar mi sitio?
https://drupal.stackexchange.com/questions/237
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Hay algo que pueda hacer para prevenir que alguien sabiendo que mi sitio está utilizando Drupal por mirar el código fuente de la página principal? Me refiero a las personas que los sitios de escaneo mediante software que detecta el software utilizado para ejecutar el sitio web para poder atacar usando cualquier punto débil conocido.
Si no es posible ocultar por completo el hecho de que el sitio está utilizando Drupal, es al menos posible confundirlos (por ejemplo, mediante aliasing las páginas nodo con URLs como http://example.com/servlets/<node-id>.jsp)?
Solución
Este es un viejo y ya respondido a la pregunta, pero recientemente me puso un poco de esfuerzo en la redacción de la descripción de todos las cosas que se necesitan para el cambio:
- Eliminar el generador de meta para Drupal 7
- Quitar revelador-texto como changelog.txt
- Compruebe el encabezado Caduca
- directorios que recorre por HTTP 200/404/403 códigos de estado
- Busque mensajes de texto por defecto - ajustar todos los mensajes de cara al usuario
- Mira el HTML - default html desde el núcleo y los módulos es un signo revelador
Básicamente: técnicamente podría ser posible para ocultar el hecho de que su sitio se ejecuta Drupal, pero podría pasar tanto tiempo en él que no vale la pena. En su lugar, debe centrarse en lo que es seguro y en las operaciones seguras (por ejemplo, la capacidad de implementar las actualizaciones de forma rápida, registros de seguimiento, etc.).
Otros consejos
No se puede ocultar por completo. La mayor parte de lo que se necesita para hacerlo, requeriría la piratería núcleo. El mayor Tell, es la variable Drupal JavaScript que es legible desde la primera página, o en cualquier página para esa materia.
Si usted desea mejorar la seguridad de los sitios de escondite que es un sitio de Drupal, el esfuerzo está mejor gastado en las revisiones de código de lo que es en tratar de ocultar el hecho de que el sitio está hecho con Drupal.
Es muy fácil de hacer, kiams!
- Uso de un proxy inverso o personalizar su http demonio para filtrar los molestos Drupal http cabecera
- Denegar el acceso HTTP a cualquier carpeta por defecto de Drupal
- Uso de PHP búfer de salida para volver a escribir y oscurecer su fuente HTML, eliminar los datos innecesarios
- Use alias de URL o custom_url_rewrite_in / salientes para hacer sus URLs un desastre
- Cambiar el error por defecto 404, quitar / cambio update.php
- Realice los cambios si alguien se entera
Y por último pero no menos importante, asegúrese de que su sitio es tan simple que no requiere JS o CSS para los comportamientos normales (no utilice Vistas ctools o ...), no soporta la autenticación de usuarios, etc., que los medios su sitio debe ser tan simple como un sitio hTML estático.
Ok, todo eso para hacer creer que su sitio no se ejecuta Drupal. De todos modos, la seguridad por oscuridad es inútil.
Hay un artículo oficial y la discusión con respecto a la misma .
No se puede. No trate
- ataques automatizados (por ahora los ataques más comunes) ni siquiera inspeccionar el servidor antes tratando sus hazañas .
Inspección de los registros de cualquier de alto perfil del sitio mostrará miles de peticiones infructuosas para/AspBB/db/betaboard.mdb_private/cmd.asp/scripts/../../winnt/system32/cmd.exe/wp-login//administrator/components/com_wmtgallery/admin.wmtgal,/cgi-bin/ip.cgi... y cualquier número de intentos hazañas históricas en cualquier sistema no relacionados.
Los ataques contra exploits suceder aunque las hazañas no existen en su sistema operativo o CMS. Haga lo que haga a errores de identificar su sitio será ignorado de todos modos por los hackers aficionados.- Lo que usted creo que se pueda ocultar, hay otras pistas para cualquier sistema.
Basta con retirar la parte de todas las cadenas que contengan 'drupal' no lo hace disfrazar su sitio a cualquier fisgón razonable. Hay docenas de formas que se puede utilizar para adivinar lo que está sirviendo a sus páginas, incluso dedicado servicios de saberlo es que Drupal sitio funcionando. Sólo las palabras clave que reconocen y piensan que son una amenaza son un subconjunto menor de los indicadores reales.
Pide index.php /? q = usuario. A continuación, intente desactivar esa respuesta sin paralizar su sitio.- La seguridad por oscuridad hay seguridad. Se da una falsa impresión de ser 'seguro' cuando esté solamente escondite vulnerabilidades detrás de una cortina de humo que cualquier atacante que plantea cualquier amenaza real sería capaz de ver a través.
- Aunque no es todo imposible de hackear el código hasta el punto en más rastros de Drupal se ocultan de la fuente HTML, (Es de código abierto después de todo) los pasos necesarios para hacerlo rompería necesariamente núcleo de manera mal que hackeado su sucursal del código sería incompatible con los actualizaciones reales de seguridad que no se podía parche y sería realmente estar abierto a cualquier amenaza reales futuros identificados por el equipo de seguridad. Esta es una verdadera ruta a la vulnerabilidad del sistema.
- La mayoría de los módulos importantes o útiles tienen su propia 'firma' de código que es difícil de ocultar, sin reescrituras significativos. Si está utilizando 'Vistas', 'CCK', 'ad', 'imagecache', 'jquery', css-agregación, contribuido temas o nada útil en su sitio - alguien puede decirle . Ocultar por completo que normalmente requeriría un total la conversión de las funciones temáticas - por lo menos. Incluso entonces, obsfucation probablemente no funcionará .
- Para quitar la identificación de muchas de las características avanzadas, como incluso la fácil instalación de Google Analytics que pueden utilizar Drupal bibliotecas funcionen, debe necesariamente o bien renunciar a los características por completo, o volver a escribir de una manera que no toma ventaja de la infraestructura de Drupal. A veces esto es posible, pero en todos los casos es contraproducente.
Usted puede estar interesado en la lectura de asegurar su sitio también.
No hay ningún punto en la clandestinidad que su sitio funciona Drupal. Es el camino equivocado para mirar a sitios web en desarrollo. Lo que usted debe centrarse en es la seguridad. Asegúrese de poner en práctica todas las medidas de valores y todo va a estar bien. No hay una razón en el mundo para ocultar que está utilizando un cierto cms u otra pieza de software. Con complementos FF como Wappalyzer, se puede decir en un instante si un sitio utiliza Drupal, así que la pregunta es bastante discutible.
Una cosa extra que puede hacer es usar también el archivo del módulo de alias para cambiar la estructura de archivos por defecto.
El href="http://drupal.org/project/file_aliases" rel="nofollow"> archivo de módulo le permite utilizar los alias personalizables simbólicos para los archivos subidos, dándole la capacidad para mantener su sistema de archivos organizados como de costumbre mientras que proporciona caminos aspecto limpio (es decir, no más / sites / default / files /).
Estoy de acuerdo con otras personas que no se puede ocultar por completo. Si nos fijamos en el código HTML, se dará cuenta de que muchas veces los archivos CSS y JavaScript no se han agregado. CSS y agregación JavaScript debe estar habilitado.
En ese pasado que he intercambiado mis fuentes para las fuentes del proyecto de Ruby típicos como Lucida Sans, también cada vez mayores tamaños de entrada como todos los niños de la cadera hacen.
Otra regalar es el "Throbber" gráfico para los campos de autocompletar. También no funciona cuando se aumenta el tamaño de entrada. He aquí uno se puede robar: http://beta.seattlebedandbreakfast.com/misc/throbber.gif
