Cacher un minimum la version de Drupal

Soumis par GoZ le lun 29/02/2016 - 23:08

Cacher un minimum la version de Drupal

S'il est possible de connaitre facilement la version de Drupal d'un site, il est alors facilement possible d'en connaitre les faiblesses. Dans le cas où le Drupal n'est pas à jour, et les failles de sécurité étant publiées sur drupal.org, il est très simple pour des personnes mal intentionnées d'utiliser ses failles.

Il existe plusieurs moyens d'obtenir la version d'un site Drupal.
La méthode la plus simple pour l'obtenir est d'accéder au fichier CHANGELOG.txt qui liste les dernières modifications du CMS.

Pour obfusquer votre version de Drupal, vous pouvez donc soit au choix :

  • Supprimer le fichier CHANGELOG.txt. Profitez-en pour supprimer également tous les autres fichiers .txt inutiles en production situés à la racine.
  • Empêcher l'accès à ces fichiers via le fichier .htaccess situé à la racine du site en faisant attention à ne pas interdire l'accès au fichier robots.txt :
<Files *\.txt>
    order allow,deny
    deny from all
</Files>
<Files robots.txt>
    order allow,deny
    allow from all
</Files>