La réponse la plus fiable se trouve dans le back-office du site : le tableau de bord affiche la version du CMS, et le gestionnaire d'extensions (ou de plugins) liste ce qui est installé, activé, et à jour. Sans accès au back-office, on peut identifier la technologie de l'extérieur — balise meta generator, fichiers publics de la distribution, outils comme Wappalyzer — mais on n'obtient jamais l'inventaire complet ni les versions exactes.
Précision utile : masquer la version de son CMS aux visiteurs est une mesure cosmétique. Ce qui protège réellement, c'est d'être à jour — pas d'être discret sur son retard.
Cet inventaire est le point de départ de tout audit de site internet mené par Pulsar Agency : on ne sécurise bien que ce que l'on connaît précisément.