Google XML Sitemaps: убираем версию и сигнатуру из карты сайта

Осеннее обострение — убираем информацию о версии WordPress и плагина из карты сайта

После установки различных плагинов, отвечающих за псевдобезопасность сайта — например, путем сокрытия используемой версии WordPress, имён и версий установленных плагинов и т.п. — обычно выясняется, что они не могут справиться с Google XML Sitemaps: он как выдавал секретные данные о версии WordPress в карте сайта, так и продолжает их выдавать. Очевидно, что это очень смущает людей, зацикленных на безопасности сайта. К [...]

← Вернуться к полной версии записи «Google XML Sitemaps: убираем версию и сигнатуру из карты сайта»…

Автор: ; опубликовано в: Патчи; метки: Google XML Sitemaps, WordPress, безопасность, плагин
23
Авг
2010
«
»

RSS Комментарии к статье «Google XML Sitemaps: убираем версию и сигнатуру из карты сайта» (3)  »

  1. Greg
    Март 30, 2011 в 23:09

    Владимир, ты не совсем прав. :-) Подумай про роботов-искунов. Как только обнаруживается очередная уязвимость каждому школьнику проще запустить робота для поиска сайтов с движками и плагинами подходящих для взлома версий. Искать будут по отпечаткам, которые мы сами и выложили в сеть. А вот результаты работы экплоита еще нужно как-никак анализировать. Вобщем, я думаю, лишний раз давать повод ковыряться в двигле не стоит. К тому-же пока шум да дело (идет ломка тех кто афиширует свои движки) подоспеет патч, новая версия или ты сам закроешь уязвимость.
    Кстати, кроме перечисленных тобой признаков существует еще один, который выдает движок WP всегда, пока не исправишь его исходники. Правда об этом далеко не все знают. Да и кто будет лезть в исходники, кроме нас, параноиков? ;-)

    Ответить
    • Vladimir
      Март 31, 2011 в 00:00

      Возможно. Анализируя логи, я пришел к выводу, что боты часто ищут все им известные уязвимости.

      Версию WordPress очень легко установить по «отпечаткам пальцев» — достаточно посмотреть, какие файлы добавлены/удалены в новой версии WordPress. Плюс можно проанализировать содержимое скриптов и таблиц стилей — они меняются от версии к версии.

      У dd32 (Dion Hulse) есть даже простой анализатор: What version of WordPress is behind that website? Довольно простая реализация:

      [-]
      View Code Text
      69.163.231.151 "GET / HTTP/1.0"
      69.163.231.151 "GET /?feed=rss2 HTTP/1.0"
      69.163.231.151 "HEAD /readme.html HTTP/1.0"
      69.163.231.151 "HEAD /wp-includes/js/tinymce/tiny_mce.js HTTP/1.0"
      69.163.231.151 "HEAD /wp-includes/js/tinymce/plugins/wordpress/editor_plugin.js HTTP/1.0"
      69.163.231.151 "HEAD /wp-includes/js/jquery/jquery.js HTTP/1.0"
      69.163.231.151 "HEAD /wp-admin/js/postbox.js HTTP/1.0"
      69.163.231.151 "HEAD /wp-includes/images/smilies/icon_arrow.gif HTTP/1.0"
      69.163.231.151 "HEAD /wp-admin/css/login.css HTTP/1.0"
      69.163.231.151 "HEAD /wp-admin/css/wp-admin.css HTTP/1.0"
      69.163.231.151 "HEAD /wp-admin/wp-admin.css HTTP/1.0"
      Ответить

Пожалуйста, не используйте эту форму для комментирования! Данная форма предназначена исключительно для ботов.

Оставить комментарий к записи «Google XML Sitemaps: убираем версию и сигнатуру из карты сайта»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, вы выражаете своё согласие с Правилами комментирования.

Подписаться, не комментируя

गते गते पारगते पारसंगते बोधि स्वाहा