Як дізнатися движок сайту, і навіщо це треба?

Напевно, багато користувачів мережі Інтернет знають, що при створенні веб-сайтів використовуються різні готові засоби. Їх називають двигунами або CMS. Як визначити, який движок використовується на сайті і навіщо це треба, піде мова далі в нашій статті.

Що таке движок сайту, і для чого він потрібен?

Движок сайту — це автоматизоване засіб для управління і настройки. Зокрема, багато CMS дозволяють змінити зовнішній вигляд чого-небудь, застосувавши шаблон, додати новий контент, меню, цілу сторінку або розділ.


З найбільш відомих можна виділити такі, як WordPress, Joomla, Drupal, вітчизняний "Бітрікс" та багато інших.

Як дізнатися движок сайту

Движок можна дізнатися кількома способами: проаналізувавши сторінку вручну; визначивши за типовим характеристикам; використовуючи онлайн-сервіси. Для аналізу сайту підручними засобами потрібно відкрити вихідний код сторінки. Невелика пробіжка по рядках може дати багато корисної інформації. Практично кожен сайт має в тілі свого коду тег meta name з ім'ям generator. В ньому може бути вказана система управління контентом, а може, й ні. Все залежить від того, чи зробив адмін порталу засоби приховування. Дізнатися движок сайту можна також рядків з CSS і jаvascript. Шляхи до файлів стилів і скриптів можуть містити частини стандартних для CMS розміщень. Наприклад, типові для WordPress складаються з ключових слів: wp-content . Дізнатися, на якому движку сайт, можна переглянувши файл robots.txt. Він призначений для заборони відвідування певних сторінок пошуковими машинами. Стало бути, у ньому можуть міститися стандартні шляхи для деяких CMS. Природно, потрібно знати структуру файлів і папок найбільш популярних движків.


Зовнішній вигляд посилань на цій сторінці також здатний допомогти дізнатися движок сайту. Якщо CMS не використовує сторонніх рішень для формування посилань, то, за замовчуванням, вони можуть виглядати так: /p=501 - актуальний вид посилання для WordPress; /index.php?option=com_content - цей шаблон використовується за замовчуванням в Joomla; page /название_страницы - так виглядає адресу в MaxSite. Дізнатися движок сайту допоможе спосіб з підстановкою адрес админок відомих CMS. Варто спробувати підставити до домену наступні шляхи: wp-admin - панель адміністратора на WordPress; administrator - такий адресу використовує Joomla; admin - а цей належить MaxSite. Сканування відповідей сервера також може допомогти дізнатися, на якому движку сайт. Зробити це можна з допомогою спеціальних засобів. У відповіді від сервера нас цікавить http header. Він може містити поле з значенням X-Powered-CMS. Має сенс переглянути збережені куки сайту. Для цього теж можуть знадобитися спеціальні кошти, звані снифферами. Серед рядків куки можна знайти частині назв популярних CMS, наприклад, wp або umicms .

Онлайн-сервіси

Перший з інструментів — Itrack. У своїй базі він має характеристики більш 50 коштів управління контентом для того, щоб дізнатися движок сайту онлайн. Досить відвідати сайт, ввести ім'я бажаного домену, капчу та натиснути «Перевірити». Через деякий час сервіс просканує вказаний сайт і винесе свій вердикт. І якщо є CMS, то вона з'явиться.
Ще один непоганий багатофункціональний сервіс для того, щоб дізнатися движок сайту онлайн, - 2ip. Тут вводиться адреса сканованого ресурсу і натискається кнопка «Дізнатися». Система перебере всі відомі CMS, відображаючи їх по черзі. І як тільки наткнеться на співпадає, сповістить про це.

Навіщо може знадобитися перевірка движка сайту

Така інформація завжди буде корисна зловмиснику-хакеру. Як він зможе це використовувати? Дуже просто. Всі засоби управління контентом пишуться людьми. Відповідно в проектах і сайтах можуть бути помилки. Якісь дуже швидко виправляються, якісь залишаються. Знаючи типові помилки конкретної CMS і будучи впевненим, що саме вона встановлена на атакується сайті, хакер може застосувати різні підходи, використовуючи уразливості і експлойти. Тип двигуна може знадобитися веб-програмісту, який хоче створити приблизно такий же сайт для себе або замовнику. А може, той же розробник хоче подивитися, наскільки легко визначить хакер CMS на його сайті.

Приховування відомостей про движку

Як бачите, приховавши дані про те, яка з CMS використовується, можна додатково захистити свій сайт від несанкціонованого доступу в результаті хакерської атаки. Насправді, цьому присвячено багато статей в Інтернеті, на форумах і в різних інструкціях. Якоїсь універсальної формули для приховування типу рушія для всіх CMS відразу не буває. Для кожної доведеться діяти по-своєму. Наприклад, Joomla генерує тег Generator. А це означає, що необхідно поправити файл index.php поточного шаблону. У нього потрібно додати рядок десь між іншими мета-тегами. Змінити відображення адрес веб-сторінок вручну дуже важко. Але є вже готові рішення, щось типу JoomSEF. Вони генерують посилання на основі назв матеріалів, і зовнішній вигляд адресного рядка стає більш читабельним і не відрізняється від більшості сайтів.
Також Joomla сайт можна дізнатися по відомій іконі в заголовку браузера. Називається вона favicon.ico і лежить в корені сайту або папці поточного шаблону. Дуже часто CMS визначається по стандартній сторінці 404 що оповідає про помилку. Рекомендується відразу змінити її після налаштування і конфігурації.

Висновок

Перед тим як дізнатися, який використовує движок сайт, доведеться спершу пошукати в Інтернеті дані про те, які типові ознаки і параметри є у тих чи інших CMS. Ну, або звернутися онлайн-майданчиками. А для того, щоб своїми руками приховати використання системи управління контентом на своєму ресурсі, доведеться ще оволодіти азами PHP і HTML. Хоча і тут на всіх відомих CMS є вже готові рішення у вигляді плагінів, модулів і компонентів. Багато з яких, до речі, теж знижують стійкість сайту до атак. Який вибирати підхід — вирішувати веб-розробнику.