Скрыть данные о версии CMS, модулей и тем, какие файлы можно удалить в папке сайта

13.10.18 ИТ / Безопасность 4202

Безопасность сайта в настоящее время – это одно из важных направлений, которое требует серьезного внимания. Согласно данным, постоянно осуществляется взлом сайтов различными лицами - хакерами, злоумышленниками и простыми пользователями. Множество взломов из этого списка совершены из-за несоблюдения элементарных правил безопасности сайта.

Чтобы взломать сайт, необходимо найти какую-либо уязвимость в нем. Но, чтобы быстро найти дыру в безопасности сайта, нужно иметь сведения об этой уязвимости. Иначе поиск такой уязвимости занял бы довольно много времени, если вообще она была бы найдена - в таком случае взломщик забыл бы про Ваш сайт и пошел бы искать другие сайты для взлома.

Прежде всего хакеры ищут информацию о том, какое ПО используется:

• какой движок (CMS) используется и его версия,
• какие модули (плагины) установлены и их версии;
• список используемых тем и их версии;
• наличие сторонних библиотек и их версии (jQuery, PHPMailer и т.д.).

Узнав эти данные, можно быстро отыскать в сети информацию о том, как взломать сайт с конкретной системой и версией. Ведь периодически отыскиваются новые уязвимости модулей, тем и самого движка любой системы, будь то: Drupal, Wordpress, Joomla и прочие.

Поэтому так важно скрыть данные о версии CMS, модулей и тем. Критические данные могут отображаться в разных местах:

• сведения о CMS и ее версии на самом сайте – надписи, значки, изображения и прочее (например, «powered by …»);
• исходный код главной и вложенных страниц – метатег «generator», данные о версии в подключаемых файлах («?ver=1.0») и прочее;
• исходный код сервисных страниц – страницы входа, регистрации и т.д.;
• файлы со справочной информацией в корне сайта и прочих папках, которые доступны из браузера и т.д.

Что скрыть или удалить эти данные, можно прибегнуть к помощи IT-специалиста. Либо в крайнем случае попытаться исправить данную ситуацию самостоятельно. Для этого существуют специальные модули, скрывающие информацию о версиях, но они выполняют работу не полностью – данные могут остаться в некоторых местах. Поэтому необходимо выполнить поиск таких данных вручную и удалить их из кода, при этому не затронув функциональность системы.

Другая важная процедура – это удаление неиспользуемых информационных файлов. Какие файлы можно удалить в папке сайта? Как правило, любая CMS поставляется с различными вспомогательными файлами, которые носят информационный характер. Такие файлы обычно доступны прямо в браузере, эта информация значительно упрощает взлом сайта. Основное количество подобных файлов хранится в корне сайта. Имена могут быть как в верхнем регистре, так и в нижнем, а также могут иметь всевозможные аналогичные названия на других языках. Примерный список файлов в папке сайта, которые можно удалить (обобщенный для разных CMS):

• readme.txt или readme.html,
• license.txt,
• changelog.txt,
• maintainers.txt,
• upgrade.txt,
• install.txt,
• copyright.txt.

Данные файлы могут быть безболезненно удалены, однако при обновлении они возможно появятся снова – поэтому после обновлений необходимо не забыть повторить процедуру удаления подобных файлов.

Таким образом, в статье было рассмотрено, почему важно скрыть данные о версии CMS, модулей и тем, а также какие файлы можно удалить в папке сайта и в его подпапках. Выполнение данных работ лучше доверить подготовленному специалисту. Всё это значительно повысит безопасность Вашего сайта и предотвратит потенциальные потери прибыли, потерю важных данных и клиентов и возможные санкции различных инстанций.