Apakah ada yang bisa saya lakukan untuk mencegah seseorang mengetahui situs saya menggunakan Drupal dengan melihat kode sumber halaman depan? Saya merujuk kepada orang-orang yang memindai situs menggunakan perangkat lunak yang mendeteksi perangkat lunak yang digunakan untuk menjalankan situs web untuk dapat menyerang menggunakan titik lemah yang diketahui.
Jika tidak mungkin untuk menyembunyikan fakta bahwa situs tersebut menggunakan Drupal, apakah paling tidak mungkin untuk membingungkan mereka (misalnya, dengan membuka halaman node dengan URL seperti http://example.com/servlets/<node-id>.jsp
)?
Jawaban:
Ini adalah pertanyaan lama dan sudah terjawab, tetapi baru-baru ini saya berupaya menuliskan deskripsi semua hal yang perlu Anda ubah:
Pada dasarnya: secara teknis mungkin untuk menyembunyikan fakta bahwa situs Anda menjalankan Drupal, tetapi Anda akan menghabiskan begitu banyak waktu untuk itu sehingga tidak sepadan. Sebagai gantinya Anda harus fokus untuk membuatnya aman dan pada operasi yang aman (mis. Kemampuan untuk menyebarkan pembaruan dengan cepat, memonitor log, dll.).
sumber
Drupal
objek JavaScript yang perlu diganti namanya.Anda tidak bisa menyembunyikannya sepenuhnya. Sebagian besar dari apa yang diperlukan untuk melakukannya, akan membutuhkan inti peretasan. Tanda terbesar, adalah
Drupal
variabel JavaScript yang dapat dibaca dari halaman depan, atau halaman apa pun dalam hal ini.Jika Anda ingin meningkatkan keamanan situs Anda dengan menyembunyikan bahwa itu adalah situs Drupal, usaha Anda lebih baik dihabiskan untuk ulasan kode daripada berusaha menyembunyikan fakta bahwa situs tersebut dibuat dengan Drupal.
sumber
/node/1
dan melihat apa yang muncul atau memeriksa tajuk HTTP .Ini terlalu mudah dilakukan, kiam!
Dan yang tak kalah pentingnya, pastikan bahwa situs Anda sangat sederhana sehingga tidak memerlukan JS atau CSS untuk perilaku normal (jangan gunakan Tampilan atau Ctools ...), tidak mendukung otentikasi pengguna, dll. Itu berarti situs Anda harus sesederhana situs html statis.
Oke, semua itu membuat orang percaya bahwa situs Anda tidak menjalankan Drupal. Bagaimanapun, keamanan dengan ketidakjelasan tidak berguna.
sumber
Ada artikel resmi dan diskusi tentang hal yang sama .
Anda mungkin tertarik untuk membaca Mengamankan situs Anda juga.
Ingat Jangan pernah meretas inti
sumber
Tidak ada gunanya menyembunyikan bahwa situs Anda menjalankan Drupal. Ini adalah cara yang salah untuk melihat pengembangan situs web. Yang harus Anda fokuskan adalah keamanan. Pastikan Anda menerapkan semua tindakan sekuritas dan semuanya akan baik-baik saja. Tidak ada satu alasan di dunia untuk menyembunyikan bahwa Anda menggunakan cm tertentu atau perangkat lunak lain. Dengan addons FF seperti Wappalyzer, Anda dapat langsung tahu jika sebuah situs menggunakan Drupal, jadi pertanyaannya cukup bisa diperdebatkan.
sumber
Hal tambahan yang dapat Anda lakukan adalah menggunakan modul File Alias untuk mengubah struktur file default.
sumber
Saya setuju dengan orang lain bahwa Anda tidak dapat menyembunyikannya sepenuhnya. Jika Anda melihat sumber HTML, Anda akan melihat bahwa berkali-kali file CSS dan JavaScript belum digabungkan. CSS dan agregasi JavaScript harus diaktifkan.
sumber
Di masa lalu saya telah bertukar font saya untuk font khas proyek Ruby seperti Lucida Sans, juga meningkatkan ukuran input seperti semua anak-anak hip lakukan.
Hadiah lain adalah grafik "throbber" untuk bidang autocomplete. Ini juga tidak berfungsi ketika Anda menambah ukuran input. Ini salah satu yang bisa Anda curi: http://beta.seattlebedandbreakfast.com/misc/throbber.gif
sumber