Возможно ли для третьей стороны надежно различить вашу CMS?

Question

Я не очень разбираюсь в том, как ковыряться в серверах и т. Д., Но в свете (относительно) недавних проблем с безопасностью Wordpress я задаюсь вопросом, можно ли скрыть, какую CMS вы используете для внешнего мира.

Очевидно, что вы можете переименовать страницу входа по умолчанию, сообщения об ошибках, значок (я вижу joomla везде) и использовать не нестандартный шаблон, но я задаюсь вопросом, что я так или иначе наблюдаю за перенаправлениями, например тот. Большинство CMS оставляют следы?

Это не замена других форм безопасности, а скорее любопытный вопрос.

Спасибо за понимание!

Answer 1

Да, многие CMS оставляют такие следы, как формирование идентификаторов и иерархия элементов, которые являются простой раздачей.

Однако это не главное. Суть в том, что очень мало очень популярных CMS. Нет необходимости определять, какой из них вы используете. Достаточно будет методично попробовать методы атаки для 5–10 крупнейших CMS, используемых на вашем сайте, чтобы получить довольно высокую вероятность успеха.

Answer 2

В общем случае безопасность по неизвестности не работает. Если вы полагаетесь на тот факт, что кто-то чего-то не знает, это означает, что вы уязвимы для определенных атак, поскольку вы слепите себя к ним.

Следовательно, идти по этому пути опасно. Выберите успешную CMS и сразу же установите все доступные исправления безопасности. Используя известную CMS, вы быстро получаете исправления безопасности. Ваш самый большой враг - время; Злоумышленники могут найти тысячи уязвимых сайтов с помощью Google и атаковать их одновременно с помощью бот-сетей. Это полностью автоматизированный процесс сегодня. Попытка скрыть, какое программное обеспечение вы используете, не остановит ботов от взлома вашего сайта, поскольку они не проверяют, какую уязвимость они могут ожидать; они просто пробуют топ-10 самых успешных на данный момент эксплойтов.

[EDIT] Бот-сети с 10'000 ботами сегодня не редкость. Пока установка исправлений безопасности очень трудна, люди не будут защищать свои компьютеры, а это значит, что у злоумышленников будет много ресурсов для атаки. Кроме того, есть сайты, которые продают эксплойты в виде готовых к использованию плагинов для ботов (или ботов, или арендуют целые бот-сети).

Так что, пока уязвимость сохраняется, маскировка вашего сайта не поможет.

Answer 3

Многие CMS имеют идентификаторы, имена классов и структурные шаблоны, которые могут их идентифицировать (например, Wordpress). У URL тоже есть определенные шаблоны. Вам просто нужен кто-то, имеющий опыт работы с платформой или просто просмотром, чтобы определить, какую CMS он использует.

ИМХО, вы можете попытаться изменить всю эту структуру в своей CMS, но если вы занимаетесь всеми этими усилиями, я думаю, вам следует просто создать свою собственную CMS.

Более важно поддерживать все в актуальном состоянии в вашей платформе и следовать некоторым мерам безопасности , чем пытаться изменить все, что может раскрыть используемую вами CMS.

Answer 4

Поскольку этот вопрос помечен как «wordpress:», вы можете скрыть свою версию WordPress, поместив ее в файл functions.php вашей темы:

add_action('init', 'removeWPVersionInfo');

function removeWPVersionInfo() {
    remove_action('wp_head', 'wp_generator');
}

Но вы по-прежнему будете иметь обычные пути, например, wp-content / themes / etc ... и wp-content / plugins / etc ... в исходном коде страницы, если вы не найдете способ переписать их с помощью .htaccess.