আমি আমার সাইট চালানোর জন্য যা ব্যবহার করছি তা কীভাবে অস্পষ্ট করতে পারি?

আমার সাইটটি প্রথম পৃষ্ঠার উত্সের কোডটি দেখে ড্রুপাল ব্যবহার করছে তা জানতে কারও প্রতিরোধ করার জন্য আমি কি কিছু করতে পারি? আমি এমন লোকদের কথা বলছি যারা সফ্টওয়্যার ব্যবহার করে সাইটগুলি স্ক্যান করে যা ওয়েবসাইট চালানোর জন্য ব্যবহৃত সফ্টওয়্যার সনাক্ত করে যে কোনও পরিচিত দুর্বল পয়েন্ট ব্যবহার করে এটি আক্রমণ করতে সক্ষম হবে।

যদি সাইটটি ড্রুপাল ব্যবহার করছে তা পুরোপুরি গোপন করা সম্ভব না হয়, তবে কি কমপক্ষে তাদের গুলিয়ে ফেলা সম্ভব (উদাহরণস্বরূপ, ইউআরএলগুলির মতো নোড পৃষ্ঠাগুলি aliasing করে http://example.com/servlets/<node-id>.jsp)?

এটি একটি পুরানো এবং ইতিমধ্যে উত্তর দেওয়া প্রশ্ন, তবে আপনাকে সম্প্রতি পরিবর্তন করতে হবে এমন সমস্ত জিনিসের একটি বিবরণ লেখার জন্য আমি কিছুটা চেষ্টা করেছি :

• ড্রুপাল 7 এর জন্য মেটা জেনারেটর সরান
• CHANGELOG.txt এর মতো বলার মতো টেল-টেক্সট সরান
• মেয়াদ উত্তীর্ণ শিরোনাম পরীক্ষা করুন
• HTTP 200/404/403 স্থিতি কোডগুলির জন্য হাঁটা ডিরেক্টরি Wal
• ডিফল্ট পাঠ্য বার্তাগুলি সন্ধান করুন - ব্যবহারকারীর মুখোমুখি সমস্ত বার্তাগুলি টুইঙ্ক করুন
• এইচটিএমএল দেখুন - মূল এবং মডিউলগুলি থেকে ডিফল্ট এইচটিএমএল একটি টেলিটল সাইন

মূলত: প্রযুক্তিগতভাবে আপনার সাইটটি ড্রুপাল চালায় এই বিষয়টি গোপন করা সম্ভব হতে পারে তবে আপনি এতে এতটা সময় ব্যয় করবেন যে এটির পক্ষে এটির মূল্য নয়। পরিবর্তে এটিকে সুরক্ষিত করার এবং সুরক্ষিত ক্রিয়াকলাপগুলিতে (যেমন, আপডেটগুলি দ্রুত স্থাপনের ক্ষমতা, লগগুলি নিরীক্ষণ করা ইত্যাদি) উপর ফোকাস করা উচিত।

আপনি এটি পুরোপুরি আড়াল করতে পারবেন না। এটি করার জন্য সবচেয়ে বেশি যা প্রয়োজন তা হ্যাকিং কোরের প্রয়োজন require সবচেয়ে বড় কথাটি হ'ল Drupalজাভাস্ক্রিপ্ট ভেরিয়েবল যা প্রথম পৃষ্ঠা থেকে বা পাঠ্য পঠনযোগ্য that

যদি আপনি এটি একটি দ্রুপাল সাইট লুকিয়ে আপনার সাইটগুলির সুরক্ষা উন্নত করতে চান তবে কোডটি রিভিউগুলিতে আপনার চেষ্টাটি ড্রুপাল দিয়ে তৈরি হয়েছে এই সত্যটি লুকানোর চেষ্টা করার চেয়ে বেশি ভাল ব্যয় করা হয়েছে।

এটা করা খুব সহজ, কিয়াম!

• বিপরীতমুখী প্রক্সি ব্যবহার করুন বা বিরক্তিকর দ্রুপাল এইচডিপি শিরোনাম ফিল্টার করতে আপনার HTTP ডেমন কাস্টমাইজ করুন
• কোনও ড্রুপাল ডিফল্ট ফোল্ডারে HTTP অ্যাক্সেস অস্বীকার করুন
• আপনার এইচটিএমএল উত্সটি পুনর্লিখন এবং অস্পষ্ট করতে পিএইচপি আউটপুট বাফারিং ব্যবহার করুন, অপ্রয়োজনীয় ডেটা সরান
• আপনার ইউআরএলগুলিকে জগাখিচু করার জন্য ইউআরএল ওরফে বা কাস্টম_আর_আরউইরাইট_ইন / আউটবাউন্ড ব্যবহার করুন
• ডিফল্ট 404 ত্রুটি পরিবর্তন করুন, আপডেট.এফপি সরান / পরিবর্তন করুন
• কেউ জানতে পারলে অন্য যে কোনও পরিবর্তন করুন

এবং সর্বশেষে তবে তা নিশ্চিত করে নিন যে আপনার সাইটটি এত সহজ যে সাধারণ আচরণের জন্য জেএস বা সিএসএসের প্রয়োজন নেই (ভিউ বা কোল্টস ব্যবহার করবেন না ...) ব্যবহারকারীর প্রমাণীকরণ ইত্যাদি সমর্থন করে না তার অর্থ আপনার সাইটের উচিত একটি স্ট্যাটিক এইচটিএমএল সাইটের মত সহজ হতে।

ঠিক আছে, লোকেরা বিশ্বাস করতে পারে যে আপনার সাইটটি ড্রপাল চালায় না। যাইহোক, অস্পষ্টতার দ্বারা সুরক্ষা অকেজো।

সেখানে একটি সরকারী নিবন্ধ এবং সংক্রান্ত আলোচনা হয় একই ।

আপনি পারবেন না। চেষ্টা করিও না

• স্বয়ংক্রিয় আক্রমণ (এখন পর্যন্ত সর্বাধিক সাধারণ আক্রমণ) এমনকি তাদের শোষণের চেষ্টা করার আগে সার্ভারটিও পরীক্ষা করে না ।
  কোনো হাই-প্রোফাইল সাইটের লগ পরিদর্শনের জন্য নিষ্ফল অনুরোধ হাজার হাজার দেখাবে /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi... আর কোন সম্পর্কহীন সিস্টেমে ঐতিহাসিক কীর্তিকলাপ এ প্রচেষ্টা যে কোন সংখ্যার।
  আপনার ওএস বা সিএমএসে শোষণের অস্তিত্ব না থাকলেও শোষণের উপর আক্রমণগুলি ঘটে। আপনার সাইটের ভুল সনাক্তকরণের জন্য আপনি যা-ই করুন না কেন অপেশাদার হ্যাকাররা এড়িয়ে যাবেন।
• আপনি যেটি লুকিয়ে রাখতে পারবেন বলে মনে করেন না কেন যে কোনও সিস্টেমের জন্য অন্যান্য ক্লু রয়েছে ।
  'ড্রুপাল' সম্বলিত কয়েকটি স্ট্রিং কেবল অপসারণ করা আপনার সাইটের কোনও যুক্তিসঙ্গত স্নোপারের ছদ্মবেশ ধারণ করে না। আপনার পৃষ্ঠাগুলি কী পরিবেশন করছে তা অনুমান করার জন্য কয়েক ডজন উপায়ে ব্যবহার করা যেতে পারে, এমনকি ডেডিকেট সার্ভিসগুলি বলতে কী সেই সাইটটি ড্রুপাল চলছে। আপনি যে কীওয়ার্ডগুলি সনাক্ত করেছেন এবং ভাবেন বলে মনে করছেন তা হ'ল আসল সূচকগুলির একটি সামান্য উপসেট।
  Index.php /? Q = ব্যবহারকারীর জন্য জিজ্ঞাসা করুন। তারপরে আপনার সাইটটিকে বিকল না করে সেই প্রতিক্রিয়াটি অক্ষম করার চেষ্টা করুন।
• অস্পষ্টতার দ্বারা সুরক্ষা কোনও সুরক্ষা নয়। এটি 'নিরাপদ' থাকার একটি ভ্রান্ত ধারণা দেয় যখন আপনি কেবল একটি স্মোকস্ক্রিনের পিছনে দুর্বলতাগুলি লুকিয়ে রাখছেন যে কোনও আক্রমণকারী যে কোনও সত্যই হুমকির সম্মুখীন হয়েছে তা দেখতে পাবে।
• যদিও কোডটি হ্যাক করা পুরোপুরি অসম্ভব নয় যেখানে ড্রুপালের বেশিরভাগ চিহ্নগুলি এইচটিএমএল উত্স থেকে লুকানো রয়েছে, (এটি সর্বোপরি ওপেন সোর্স) এটি করার জন্য প্রয়োজনীয় পদক্ষেপগুলি অবশ্যই কোরটিকে এত খারাপভাবে ভেঙে ফেলবে যে কোডটির আপনার হ্যাক শাখাটি আপনি যে সত্যিকারের সুরক্ষা আপডেটগুলি প্যাচ করতে পারেননি তার সাথে বেমানান হবে এবং সুরক্ষা টিম দ্বারা চিহ্নিত সত্যিকারের ভবিষ্যতের হুমকির জন্য সত্যই উন্মুক্ত থাকবে। এটি সিস্টেম দুর্বলতার সত্যিকারের পথ।
• সর্বাধিক উল্লেখযোগ্য বা দরকারী মডিউলগুলির নিজস্ব কোড 'স্বাক্ষর' রয়েছে যা উল্লেখযোগ্য পুনরায় লেখাগুলি ছাড়াই লুকানো শক্ত hide আপনি যদি 'ভিউ', 'সিসি', 'বিজ্ঞাপন', 'ইমেজক্যাচ', 'জকিউয়ারি', সিএসএস-একীকরণ, অবদান থিম বা আপনার সাইটে দরকারী যে কোনও কিছু ব্যবহার করছেন - কেউ বলতে পারেন । পুরোপুরি গোপনে সাধারণত থিম ফাংশনগুলির মোট রূপান্তর প্রয়োজন - কমপক্ষে। তারপরেও, অস্পষ্টতা সম্ভবত কাজ করবে না ।
• উন্নত বৈশিষ্ট্যগুলির অনেকের শনাক্তকরণ অপসারণ করতে, এমনকি গুগল অ্যানালিটিকাগুলির এমনকি সহজে ইনস্টল করা যা ড্রুপাল লাইব্রেরিগুলিকে কাজ করতে পারে, আপনাকে অবশ্যই এই বৈশিষ্ট্যগুলি পুরোপুরি বর্জন করতে হবে, বা সেগুলি আবার লিখতে হবে যাতে ড্রুপাল অবকাঠামোর সুবিধা না নেয় does । কখনও কখনও এটি সম্ভব, তবে সব ক্ষেত্রেই এটি পাল্টা-উত্পাদনশীল।

আপনি নিজের সাইটটিও সুরক্ষিত করতে আগ্রহী হতে পারেন ।

হ্যাক কোর মনে রাখবেন না

আপনার সাইটটি ড্রুপাল চালায় তা গোপন করার কোনও অর্থ নেই। এটি উন্নয়নশীল ওয়েবসাইটগুলি দেখার জন্য ভুল উপায়। আপনার যে বিষয়টিতে ফোকাস করা উচিত তা হ'ল সুরক্ষা। নিশ্চিত হয়ে নিন যে আপনি সমস্ত সিকিওরিটির ব্যবস্থা গ্রহণ করেছেন এবং সবকিছু ঠিকঠাক হবে। আপনি কোনও নির্দিষ্ট সেমি বা অন্য কোনও সফ্টওয়্যার ব্যবহার করছেন তা গোপন করার কোনও কারণ পৃথিবীতে নেই। ওয়াপ্পলিজারের মতো এফএফ অ্যাডনগুলির সাহায্যে কোনও সাইট দ্রুপাল ব্যবহার করে কিনা তা আপনি তাত্ক্ষণিকভাবে বলতে পারেন, সুতরাং প্রশ্নটি বেশ মোটা।

আপনি করতে পারেন একটি অতিরিক্ত জিনিস ডিফল্ট ফাইল কাঠামো পরিবর্তন করতে ফাইল অ্যালিয়াস মডিউলটিও ব্যবহার করে।

ফাইল ওরফে মডিউলটি আপনাকে ফাইল সিস্টেম সময় পরিষ্কার খুঁজছেন পাথ (অর্থাত, কোন / সাইট / ডিফল্ট / ফাইল /) সরবরাহ স্বাভাবিক অনুযায়ী সংগঠিত রাখার ক্ষমতা দান, আপনি আপনার আপলোড করা ফাইলের জন্য টোকেন স্বনির্ধারিত alias লেখা ব্যবহারের অনুমতি দেয়।

আমি অন্যান্য লোকদের সাথে একমত যে আপনি এটি পুরোপুরি গোপন করতে পারবেন না। আপনি যদি এইচটিএমএল উত্সটি লক্ষ্য করেন তবে আপনি লক্ষ্য করবেন যে অনেক সময় সিএসএস এবং জাভাস্ক্রিপ্ট ফাইলগুলি একত্রিত করা হয়নি। সিএসএস এবং জাভাস্ক্রিপ্ট একীকরণ সক্ষম করা উচিত।

অতীতে আমি লুসিডা সানসের মতো টিপিকাল রুবি প্রজেক্ট ফন্টের জন্য আমার ফন্টগুলি অদলবদল করেছি, সমস্ত হিপ বাচ্চাদের মতো ইনপুট আকার বাড়িয়েছি।

আর একটি উপহার হ'ল স্বয়ংক্রিয়রূপে ক্ষেত্রগুলির জন্য "থ্রোবার" গ্রাফিক। আপনি যখন ইনপুট আকার বাড়ান এটিও কাজ করে না। এখানে এক আপনি চুরি পারেন: http://beta.seattlebedandbreakfast.com/misc/throbber.gif