Ci sono diversi step che si possono fare:
- Rimuovere ogni forma di versione del server dai fingerprint del sito (es. pagine d'errore, risposte del server, ecc.) in modo che un'attaccante non conosca l'esatta versione e, perciò, non sappia esattamente quali (e se) vulnerabilità abbia.
- Sostituire tutte le pagine di errore di default con pagine custom (sia per un discorso di "estetica", sia per evitare disclosure di informazioni.
- Disabilitare ogni forma di Directory Listing, in modo che sia possibile vedere SOLO i file interessati.
- Utilizzare solo Chiphers forti
- Utilizzare solo HTTPS
- Utilizzare i giusti Headers e tokens in modo da evitare vulnerabilità come CSRF, ClickJacking, XSS, ecc.
- Altre misure di sicurezza che puoi trovare in questo articolo
Ovviamente, per proteggersi, lo stesso sito hostato deve essere sicuro, poichè se presenta vulnerailità come SQLi, LFI e compagnia varia tutto il lavoro svolto risulta praticamente inutile