Un livret de l'Agence nationale de la sécurité des systèmes d'information recommande en particulier de limiter les renseignements fournis sur le fonctionnement technique du site web.

Il s'agit, en particulier pour les CMS, de ne fournir aucune information sur le nom du script qui propulse le site, dans la source en a fortiori, en clair.

Fuites d’informations
Il est prudent de limiter au maximum les informations visibles publiquement qui donnent des indications sur le fonctionnement interne du site. Le niveau de protection d’une telle mesure ne doit pas être surestimé : il est peu probable qu’un attaquant déterminé soit freiné longtemps par les mesures proposées ci-dessous, mais elles peuvent permettre de se mettre à l’abri de certains systèmes d’attaques automatisés. Parmi les points participant de cette mesure, on peut citer :
– la suppression des balises « meta » dans l’en-tête HTML lorsque celles-ci indiquent le logiciel ayant généré la page ;
– la suppression des éléments visibles sur la page indiquant les outils (CMS, éditeur, etc.) utilisés ;
– la limitation en production des informations de débogage dans les messages d’erreur (en évitant par exemple de fournir la requête SQL qui a généré une erreur) ;
– l’utilisation de pages d’erreurs personnalisées pour ne pas reposer sur les pages par défaut facilement reconnaissables ;
– dans certains cas, l’utilisation de l’erreur 404 générique plutôt que d’une erreur 401, 403, 405, etc. pour éviter de révéler trop d’informations sur le fonctionnement ou le contenu en accès limité du site ;
– la banalisation des en-têtes HTTP qui peuvent fournir des informations de version trop précises sur le serveur ou le système d’exploitation employés ;
– la désactivation du listage des répertoires n’ayant pas explicitement d’index ;
– le rejet, en production, des requêtes HTTP TRACE qui n’ont d’intérêt qu’en phase de débogage.

Intégralité de la notice en Iframe ci-dessous.