¿Hay algo que pueda hacer para evitar que alguien sepa que mi sitio está usando Drupal mirando el código fuente de la página principal? Me refiero a las personas que escanean sitios utilizando software que detecta el software utilizado para ejecutar el sitio web para poder atacarlo utilizando cualquier punto débil conocido.
Si no es posible ocultar completamente el hecho de que el sitio está usando Drupal, ¿es posible al menos confundirlos (por ejemplo, aliasando las páginas de nodo con URL como http://example.com/servlets/<node-id>.jsp
)?
Respuestas:
Esta es una pregunta vieja y ya respondida, pero recientemente me esforcé en escribir una descripción de todas las cosas que necesitarías cambiar:
Básicamente: técnicamente podría ser posible ocultar el hecho de que su sitio ejecuta Drupal, pero pasaría tanto tiempo en él que no vale la pena. En su lugar, debe centrarse en hacerlo seguro y en operaciones seguras (por ejemplo, la capacidad de implementar actualizaciones rápidamente, monitorear registros, etc.).
fuente
Drupal
objeto JavaScript que necesita ser renombrado.No puedes ocultarlo por completo. La mayor parte de lo que se necesita para hacerlo requeriría piratear el núcleo. La mayor diferencia es la
Drupal
variable de JavaScript que se puede leer desde la página principal o desde cualquier página.Si desea mejorar la seguridad de su sitio al ocultar que es un sitio de Drupal, su esfuerzo se gasta mejor en revisiones de código que en tratar de ocultar el hecho de que el sitio está hecho con Drupal.
fuente
/node/1
y ver qué aparece o consultar los encabezados HTTP .¡Es demasiado fácil de hacer, Kiam!
Y por último, pero no menos importante, asegúrese de que su sitio sea tan simple que no requiera JS o CSS para comportamientos normales (no use Vistas o Ctools ...), no admita la autenticación del usuario, etc., lo que significa que su sitio debería ser tan simple como un sitio html estático.
Ok, todo eso para que la gente crea que su sitio no ejecuta Drupal. De todos modos, la seguridad por oscuridad es inútil.
fuente
Hay un artículo oficial y discusión sobre el mismo .
Puede que también le interese leer Asegurar su sitio .
Recuerde nunca hackear núcleo
fuente
No tiene sentido ocultar que su sitio ejecuta Drupal. Es la forma incorrecta de mirar sitios web en desarrollo. En lo que debe centrarse es en la seguridad. Asegúrese de implementar todas las medidas de valores y todo estará bien. No hay una razón en el mundo para ocultar que está utilizando un determinado cms u otro software. Con complementos FF como Wappalyzer, puede saber en un instante si un sitio usa Drupal, por lo que la pregunta es bastante discutible.
fuente
Algo adicional que puede hacer es usar también el módulo Alias de archivo para cambiar la estructura de archivos predeterminada.
fuente
Estoy de acuerdo con otras personas en que no puedes ocultarlo por completo. Si observa la fuente HTML, notará que muchas veces los archivos CSS y JavaScript no se han agregado. La agregación CSS y JavaScript debe estar habilitada.
fuente
En ese pasado, cambié mis fuentes por las fuentes típicas del proyecto Ruby como Lucida Sans, y también aumenté los tamaños de entrada como lo hacen todos los niños modernos.
Otro regalo es el gráfico "throbber" para los campos de autocompletar. Tampoco funciona cuando aumenta el tamaño de entrada. Aquí hay uno que puedes robar: http://beta.seattlebedandbreakfast.com/misc/throbber.gif
fuente