J'essaie de modifier mon site de telle manière que lorsque les gens le considèrent, ils ne savent pas que cela est alimenté par Drupal. Alors, se demandait s'il y a des signes qui donnent à cela que je devais savoir?
Certains des cadeaux que je connais sont:
etc
Je cherche des choses similaires?
12 Réponses :
Vous ne pouvez pas vraiment échapper aux soupçons des gens. Pour ce faire, vous devez modifier les systèmes de fichiers, les feuilles de style, le balisage, etc. Ceci est déraisonnable. Pourquoi est-ce important si vous utilisez Drupal?
Je suis sûr qu'il craignait que les gens utilisent des vulnérabilités connues à Drupal.
@WhatNick: Oui, fondamentalement. Je me sentirais beaucoup mieux si les gens ne savaient pas ce que mon site fonctionne. Il en fait que le peu plus difficile de trouver des trous.
Les personnes qui sent drupal peuvent l'identifier par la source. Mais Drupal n'a pas d'en-tête de générateur comme Joomla ni d'autres.
Je voulais dire, s'ils devaient simplement avoir accès à mon site, sans pouvoir voir la source.
Si vous pouvez accéder au site, vous avez également accès à la source. ;)
Oui désolé. Vous avez accès à la source HTML. J'importais que vous n'avez pas accès au code source PHP actuel. Suppose que c'est évident ..
Regardons une page assez personnalisée basée sur Drupal: http://gemini-lights.com/ (une page aléatoire du référentiel de sites Drupal ). Il y a beaucoup de cadeaux:
corps ) qui ne changent pas d'apparence - Drupal les utilise pour fournir des informations sur l'état de la page (comme )
- Probablement beaucoup d'autres
Mon conseil est: N'essayez pas trop fort pour cacher le CMS de votre site Web, si un pirate informatique veut savoir ce que CMS vous courez, il / elle le découvrira. Je me concentrerais sur la conservation de la CMS à jour (Drupal le rend facile) et surveiller les modules que vous installez - ils sont sont les vecteurs d'attaque les plus susceptibles.
Étant donné que cette question a toujours de nombreux hits, permettez-moi de le mettre à jour avec un exemple de site Web d'une grande entreprise (l'une des plus grandes compagnies de téléphone de la Pologne), qui, à ma surprise (agréable), utilise Drupal pour Son site principal, http://dialog.pl/ :
- Les pages de cadeaux habituelles telles que / utilisateur / 1, / Login, etc. Rediriger vers une page principale, vous pouvez donc voir que les créateurs du site ont effectué leurs devoirs;)
- ... mais la source de la page contient mon donneur préféré: l'utilisation du thème zen: URL comme
/ Sites / Thèmes / Thèmes / Zen-Dialog-Page de la page /../ CSS / page-strona_glowna.php ou CSS Styles appliqués:
- Un de plus abandonner est le update.php page qui a le thème de la guirlande familière (accessoires à Kevin pour celui-ci).
Comme vous pouvez le constater, il est toujours possible de dire que le site Web utilise Drupal - et il s'agit d'un site Web d'une grande société. Donc, le conseil ci-dessus est toujours tenu: ne gaspillez pas vos ressources pour essayer de masquer le CMS que vous avez utilisé, gardez-le à jour (c'est pourquoi le fichier update.php est probablement toujours en place), surveiller les vulnérabilités de sécurité, utiliser des mots de passe forts, etc.
Je ne sais pas si c'est en fait un bon exemple de site Web personnalisé drupal .. Lorsque vous vérifiez avec intégré avec Il apparaît comme un site Web Joomla ..
Je suis à peu près sûr qu'ils utilisent toujours Drupal - toutes les astuces que j'ai données ci-dessus me dirigent, en particulier la page Update.php. Je ne sais pas ce qu'est exactement convaincu intégré avec pour le marquer comme étant construit avec Joomla (peut-être un composant qu'ils utilisent sur la page principale), mais à la fin, il ne s'agit que de deviner afin que vous puissiez vérifier afin que vous ne puissiez vérifier qu'ils ont des résultats. il revient.
luttheatre.co.uk ? Eh bien, un grand indice que c'est Joomla et non Drupal, c'est que, dans le pied de page, ils mentionnent que le site a été construit par WebEditors.co. Royaume-Uni , qui est un shop Joomla .. juste dire ..
Mon erreur - je pensais que tu voulais dire dialogique.pl. Merci d'avoir souligné cela - j'ai mis à jour la réponse, choisissant un nouveau site au hasard :)
Vous devrez également vérifier le CSS de chaque module que vous avez installé et modifiez. Ce serait un obstacle sérieux d'appliquer de nouvelles politiques de sécurité.
Comme les autres l'ont dit, ne vous inquiétez pas trop à ce sujet. C'est une perte de temps. Il suffit de garder le noyau drupal et de tous vos modules à jour (vous pouvez même la définir pour vous envoyer un courrier électronique lorsque des versions de sécurité sont publiées pour vos modules installés) et vous ne devriez pas avoir à vous soucier d'une chose.
Manières rapides de savoir si un site est un site drupal.
Il y a beaucoup d'autres moyens indiquant si un site est un site drupal, mais ce qui précède est rapide et certain.
D'autres signes seraient.
Angie Byron of Lullabot a écrit un article sur l'en-tête HTTP Expire ( Lullabot.com/articles / is-site-running-drupal ) et les commentaires ont d'autres bonnes informations et liens pour identifier les sites drupels
Vous gaspillez votre temps:
L'obscurité n'est pas une forme de sécurité. Et essayer de cacher Drupal peut seulement tenter un pirate informatique de vous battre.
S'il y a une faille de sécurité, vous le manquerez presque certainement et le pirate informatique doit seulement essayer un vecteur d'attaque spécifique. Il ou elle ne va pas vérifier si c'est drupal ou non. Votre attaque peut provenir de logiciels qui ne s'en souciera pas.
Les modifications que vous faites pour masquer Drupal peuvent réellement rendre votre site moins sécurisé. Surtout si vous changez du noyau et que vous ne pouvez plus dire si votre site est à jour.
Il est très probable que l'effort que vous dépensez de cacher Drupal peut plutôt être appliqué à une politique de sécurité éprouvée et à obtenir de meilleurs résultats.
La plupart des attaques de script Kiddie ne rechercheront pas un logiciel ou une autre version, puis attaquez; Ils vont simplement exécuter un ensemble d'exploits et voir si un travail. S'ils le font, ils peuvent alors vérifier quel logiciel et votre version ils ont cassé s'ils se soucient. Cacher les informations de la version évidentes peut au plus causer une attaque de prendre plus de temps, car l'ensemble des attaques à exécuter ne peut être limité.
Je comprends l'argument mais l'obscurité est définitivement une forme de sécurité. Il est beaucoup plus difficile de frapper une cible si vous ne savez pas que c'est là dans la première place ..
Es-tu sûr? Ce serait certainement le cas pour un trou de sécurité inconnu. Mais une fois que quelque chose est connu, il vous suffit d'automatiser une attaque. Cela est arrivé à des rails récemment.
Ok, utilisons une analogie que tout le monde comprend que tout le monde comprend alors .. est un jet de chasse furtif plus sûr qu'un jet régulier? .. Il est vraiment facile de frapper les deux si vous savez où ils sont, mais je suis sûr que nous sommes tous d'accord le furtif est plus sûr en raison de son obscurité
Les en-têtes expirés sont également uniques aussi. En fait, ils sont définis pour shere Buytaert (Créateur de Drupal) Date de naissance. Autant que je puisse dire, ils ont été définis comme ci-dessous depuis Drupal 4.6.
Expires: Sun, 19 Nov 1978 05:00:00 GMT
Giveaway mort:
Essayez d'aller à mettre à jour.php, vous aurez accès refusé (et the Garland theme).
nouvelle réponse à la vieille question. Ce site vous dira si un site est construit avec Drupal et pourrait donner à votre jeu. Cela donne cependant de faux négatifs cependant, il peut donc en valoir la peine de le tester avec ce site Web et de voir à quel point vous pouvez bien vouloir obscurcer.
Chrome a un add-on appelé Chrome Sniffer qui montre ce que CMS n'importe quel site est construit.
Firefox a un aussi addons.mozilla.org/en-us/firefox/addon / wappalyszer
Greggles (dirigeant de l'équipe de sécurité Drupal) a écrit un article sur la cachette du fait qu'un site exécute Drupal: < un href = "http://drupalscout.com/knowledge-base/hiding-fact-your-site-runs-drupal-or-fingerprinting-drupal-site" rel = "Nofollow Noreferrer"> Cachez le fait que votre site fonctionne Drupal Ou empreintes digitales un site drupal .
Certaines des choses qui permettent de savoir quand un site utilise Drupal peut être modifiée, mais dans certains cas, il ne vaut pas la peine, ni des ressources qui seraient mieux consacrées à faire autre chose, telle que rendre Drupal plus sûr, Ou éviter les trous de sécurité sur le site.
Par exemple, les messages donnés aux utilisateurs à partir des modules sont une indication que le site exécute Drupal (et quelle version exactement), mais la modification de ces messages signifierait les modifier chaque fois qu'un nouveau module est installé ou une nouvelle version d'un module. est installé. Les classes CSS sont autre chose qui contribue à la compréhension du moment où un site exécute Drupal, mais la modifiant n'est pas si facile, car certains modules dépendent d'une classe CSS spécifique à fonctionner. Le fait que le code JavaScript utilise un objet drupal aide également à attraper un site drupal.
Je trouve http://wappalyzer.com extension chromée Un excellent outil permettant de détecter quel site est alimenté par. Cela va au-delà de la détection juste de Drupal et énumère de nombreux outils tiers et technologies sous-jacentes à un site utilise un site.
isthisitebuiltwithdrupal.com