我对在服务器等方面的操作了解不多,但鉴于(相对)最近的 Wordpress 安全问题,我想知道是否有可能向外界隐藏您可能正在使用的 CMS。
显然,您可以重命名默认登录页面、错误消息、网站图标(我到处都可以看到 joomla 图标)并使用非默认模板,但我想知道的各种事情是以某种方式观看重定向之类的那。大多数 CMS 都会留下痕迹吗?
这并不是要取代其他形式的安全性,而是一个比较奇怪的问题。
感谢您的任何见解!
【问题讨论】:
标签: security wordpress content-management-system
是的,许多 CMS 都会留下痕迹,例如标识符的形成和元素的层次结构,这些都是显而易见的。
但这不是重点。重点是,只有少数非常流行的 CMS。没有必要确定您使用哪一个。有条不紊地尝试针对您网站上使用的 5 到 10 个最大的 CMS 的攻击技术就足够了,以获得相当大的成功概率。
【讨论】:
在一般情况下,默默无闻的安全性不起作用。如果您依赖某人不知道某事的事实,这意味着您很容易受到某些攻击,因为您对它们视而不见。
因此,走这条路很危险。选择一个成功的 CMS,然后立即安装所有可用的安全补丁。通过使用著名的 CMS,您可以确保快速获得安全修复。你最大的敌人是时间;攻击者可以通过 Google 找到数千个易受攻击的站点,并使用僵尸网络同时攻击它们。今天这是一个完全自动化的过程。试图隐藏您正在使用的软件不会阻止机器人入侵您的网站,因为它们不会检查他们可能预期的漏洞;他们只是尝试当前最成功的 10 个漏洞。
[编辑] 拥有 10,000 个机器人的机器人网络在今天并不少见。只要安装安全补丁如此困难,人们就不会保护他们的计算机,这意味着犯罪分子将有大量资源可以攻击。最重要的是,有些网站将漏洞利用作为即用型插件出售给机器人(或机器人或租用整个机器人网络)。
所以只要漏洞仍然存在,伪装您的网站将无济于事。
【讨论】:
许多 CMS 都有可以识别它们的 id、类名和结构模式(例如 Wordpress)。 URL 也有特定的模式。您只需要有平台经验或浏览过的人就可以确定它使用的是哪个 CMS。
恕我直言,您可以尝试更改您的 CMS 中的所有这些结构,但如果您投入所有这些努力,我认为您应该创建自己的 CMS。
让平台中的所有内容保持最新并关注some security measures 比尝试更改可能显示您正在使用的 CMS 的所有内容更重要。
【讨论】:
由于这个问题被标记为“wordpress:”,您可以通过将其放入主题的 functions.php 文件中来隐藏您的 wordpress 版本:
add_action('init', 'removeWPVersionInfo');
function removeWPVersionInfo() {
remove_action('wp_head', 'wp_generator');
}
但是,除非您找到一种方法用 .htaccess 重写那些。
【讨论】: