Але ж http://site/system/ це шлях за умовчанням який розробники рекомендують змінити

budulay

В тому то і справа, що він достатньо поширений. Бо мало хто змінює дефолтні шляхи. В моїх дослідженнях дефолтний шлях був майже на всіх сайтах, що мені траплялися як з ExpressionEngine, так і з іншими движками.

і це взагалі легко зробити

Це добре, що девелопери EE самі радять це робити і що це не важка процедура. Але насправді небагато адмінів сайтів це використовують на практиці .

Ну я до того, що дуже рідко залишається шлях до адмінки за умовчанням - system і зазвичай його міняю ще при встановленні.

В тому то і справа, що в більшості випадків власники сайтів використовують дефолтні шляхи. Я писав одразу про три движка з подібним витоком (і ще напишу про інші) і відповідно в середньому для них всіх на практиці в основному використовуються шляхи за замовчуванням. Для EE це може бути менш частіше ніж у випадку інших движків, але і для нього також. І на всіх таких сайтах можливе використання даного методу.

Окрім зміни дефолтного шляху, або прибирання версії, також може використовуватися метод заборони доступа до адмінки по IP (засобами веб сервера). Але всі ці методи не дуже поширені й в основному на сайтах наявні витоки версій веб додатків. Бо переважно на цей аспект мало хто звертає увагу.

Більш реальним є дізнатись версію двигунця з емейлів які він генерує, в юзер-агенті ЕЕ висилає назву двигунця і його версію…

хоча в core.system.php можна змінити і назву двигунця і його версію

Я знаю, що вже є більш нові версії ExpressionEngine (заходив раніше на їх сайт, коли повідомляв про попередні уразливості в даній CMS). На витоки версій в веб додатках я звертаю увагу вже багато років і ще в 2008 вирішив написати дану серію статей. І з тих пір я збираю інформацію про витоки версій в різних веб додатках (й записую собі приклади витоків тих версій, які мені трапляються, в даному випадку 1.2.1). Наведені в статтях версії це лише приклади витоку інформації.

вже давно як на сторінці адмінки виводиться інформація про версію системи і це нормально для КМС вивід такої інформації в адмінці

На всіх версіях EE, що я зустрічав (від 1.2.1 і вище), є даний витік інформації, як і в pMachine Pro 2.4. Так що всі версії ExpressionEngine мають даний витік.

В даному випадку йдеться не про виведення інформаці в самій адмінці, а на сторінці логіна в адмінку (а це різні речі). Тобто цю інформацію може побачити будь-хто (без авторизації) і в своїй серії статей я пишу виключно про публічні витоки інформації.

З наведених додатків, подібні витоки мають Nucleus, pMachine Pro та ExpressionEngine (і є ще багато інших веб додатків з таким витоком).

Але ж http://site/system/ це шлях за умовчанням який розробники рекомендують змінити на свій ще під час встановлення системи і це взагалі легко зробити