Кратко: Wappalyzer — это инструмент, который показывает, из каких технологий «собран» любой сайт. CMS, фреймворк, хостинг, аналитика, платёжный шлюз — всё, что разработчики используют на бэкенде и фронтенде, Wappalyzer вытаскивает на поверхность. Расширение для браузера показывает это одной иконкой, а платная версия добавляет контакты, email и CRM-интеграцию. Проект основан в 2008 году Эльбертом Алиасом, сегодня отслеживает 8000+ технологий на миллионах сайтов .

▫️ Как это работает Wappalyzer не взламывает и не сканирует порты. Он просто смотрит на то, что сайт сам отдаёт в браузер : · HTML-код — классы, атрибуты, комментарии (WordPress оставляет следы в wp-content). · HTTP-заголовки — X-Powered-By, Server, Set-Cookie (PHP выдаёт PHPSESSID). · JavaScript-переменные — глобальные объекты вроде window._wpemojiSettings. · URL и пути — наличие /wp-admin/ или /wp-includes/ — почти всегда WordPress . Всё это публичные данные, которые любой может увидеть через «Просмотр кода страницы». Wappalyzer просто автоматизирует процесс и красиво упаковывает результат .

▫️ Где применяется Разведка (Recon) — главный сценарий для ИБ. Пентестеры используют Wappalyzer, чтобы быстро понять, с чем имеют дело: старый WordPress, React на Node.js, самописный PHP-фреймворк. Это сужает круг поиска уязвимостей . Если видите Laravel — проверяете на специфические CVE для Laravel. Если Apache 2.4.49 — там была критическая RCE в 2021 году . Wappalyzer часто даёт не только название, но и версию (если разработчики не скрыли её в Server-заголовке) . Мониторинг изменений. Вы подписываетесь на сайт конкурента, и Wappalyzer присылает уведомление: «Они переехали с Magento на Shopify» или «Добавили аналитику Hotjar». Это коммерческий сигнал . Продажи и маркетинг. Wappalyzer изначально создавался для этой задачи. Вы ищете все сайты в США, у которых Shopify + высокая посещаемость, и получаете список контактов для холодных продаж .

▫️ Продвинутые фишки и цена Wappalyzer — это экосистема, а не просто расширение: · Бесплатно: расширение для Chrome, Firefox, Edge, Safari . · Plus ($10/мес): контакты, email-адреса, телефоны из публичных источников . · API: для автоматизации, 1 кредит = 1 запрос к сайту. Живые сканы (без кэша) стоят 5 кредитов · MCP-сервер: интеграция с AI-агентами (Claude, GPT) — AI сам может сходить в Wappalyzer и рассказать, из чего сделан сайт . · Поддомены и алерты: автоматический поиск dev.api.company.com и отслеживание изменений ▫️ Культурный феномен · «Угадай CMS по классам» — до Wappalyzer это было развлечением. Теперь просто наводишь мышку. · Спор об «обфускации». Можно ли спрятать технологии от Wappalyzer? Да, переименовать PHPSESSID, убрать X-Powered-By. Но 90% клиентского кода (JavaScript, CSS) невозможно скрыть, он всё равно передаётся в браузер . Скрытность — не замена обновлениям безопасности . · SEO-шопинг. Маркетологи ищут сайты на старом WooCommerce, чтобы предложить миграцию на Shopify. Wappalyzer — идеальный инструмент для такого «обзвона». · Надёжность. Wappalyzer даёт сигналы, но может ошибаться. Он показывает то, что видит. Если сайт за Cloudflare, реальный хостинг может быть скрыт.

▫️ Как защититься (если вы разработчик) Не пытайтесь спрятать технологии на 100% — это невозможно . Но можно: · Убрать версию из Server-заголовка (Apache: ServerTokens Prod). · Переименовать стандартные cookie (PHPSESSID → myapp_session). · Обновлять ПО. Если хакер увидит старый WordPress с кучей неисправленных CVE — это его день. Если он увидит свежий WordPress с последними патчами — он пойдёт дальше .

▫️ Современное положение (2026) Wappalyzer — это стандарт де-факто для быстрой разведки стека веб-приложений. Бесплатное расширение используют разработчики, маркетологи и пентестеры. Платная экосистема превратила его в коммерческий инструмент для Sales и Marketing Ops. А API и MCP-интеграция открывают дорогу для AI-агентов, которые могут сами анализировать технологии сайтов и принимать решения на основе этих данных .

#wappalyzer #технологии #инфобез #пентест #recon #osint #cms #вебразработка