Fingerprinting : détecter les technologies d’un site Web
9 novembre 2019
Présentes sur Firefox, l’extension WhatRuns est fort pratiques pour disposer des informations sur les technologies utilisées que vous livrez à des assaillants potentiels et à leurs bots. Ce sont des outils qui permettent de tester la verbosité et, par voie de conséquence, la sécurité de vos sites.
Whatruns
L’extension WhatRuns est moins intrusive que son homologue. Mais elle nous livre l’essentiel. Une fois installée, cliquez sur le bouton de l’extension à partir de votre barre de boutons.
BuiltWith
BuiltWith est sans doute un des services en lignes les plus complets.
W3Techs
W3Techs fournit de très nombreuses informations, sans toutefois présenter d’informations de version. Il est beaucoup plus généraliste que les sites précédents.
Masquer les informations de version de Apache/PHP/WordPress
Pour masquer la version de PHP utilisée, éditez le fichier /etc/php.ini en passant la directive expose_php à Off. Cette action n’est pas possible en hébergement mutalisé !
Concernant le serveur Web Apache, il vous suffira d’éditer le fichier /etc/httpd/conf/httpd.conf de votre serveur dédié Fedora/CentOS et modifier/ajouter les directives suivantes :
ServerTokensProd ServerSignature Off
Si vous avez activer le module mod_security sur Apache, vous pouvez ajouter à l’un de vos fichiers de configuration :
<IfModule mod_security.c> SecServerSignature " " </IfModule>
Pour ce qui est de WordPress, ajoutez au fichier functions.php de votre thème :
remove_action('wp_head', 'wp_generator');