Tengo un sitio web para el que estamos tratando de ser discretos sobre el hecho de que estamos usando WordPress. ¿Qué pasos podemos tomar para que sea menos obvio?
EDITAR: Nota de seguridad importante:
Por favor, comprenda que hacer esto perfectamente es imposible según la respuesta de Mark , así que no confíe en esto como una medida de seguridad.
security
customization
Casebash
fuente
fuente
Respuestas:
Los mayores regalos de WordPress están entre las
<head> </head>
etiquetas.Ejemplo de salida de contenido principal de WordPress por The Twentyten Theme y cómo eliminar:
Eliminar directamente de header.php
Oculte WordPress llamando a su hoja de estilo desde otra ubicación y cambie el directorio wp-content. WordPress requiere que su tema incluya información básica en la parte superior de style.css (style.css debe estar en el directorio raíz de temas). Deberá crear un CSS alternativo y llamarlo desde su cabeza. WordPress no requiere que use los temas style.css, solo requiere que esté en el directorio de temas.
Eliminar directamente de header.php
Para eliminar estos enlaces adicionales, puede agregar un filtro a functions.php
Puede cambiar su directorio de complementos y su directorio wp-content en su archivo wp-config.php, pero podría tener algunos problemas si su tema o algún complemento no utiliza el método adecuado para llamar a los archivos.
Establezca WP_CONTENT_URL en el URI completo de este directorio (sin barra inclinada), p. Ej.
Opcional Establezca WP_PLUGIN_DIR en la ruta local completa de este directorio (sin barra inclinada), p. Ej.
Establezca WP_PLUGIN_URL en el URI completo de este directorio (sin barra inclinada), p. Ej.
PLUGINS
Tenga en cuenta que algunos complementos como Akismat, All in One SEO, W3-Total-Cache, Super Cache y muchos otros agregan comentarios a la salida HTML. La mayoría son fáciles de modificar para eliminar los comentarios, pero sus cambios se sobrescribirán cada vez que se actualicen los complementos.
wp-incluye
El directorio wp-includes contiene jquery y varios otros archivos js que los temas o complementos llamarán usando wp_enqueue_script (). Para cambiar esto, deberá cancelar el registro de los scripts predeterminados de WordPress y registrar la nueva ubicación. Añadir a functions.php:
Esto deberá hacerse con cada secuencia de comandos utilizada por su tema o complementos.
fuente
register_theme_directory()
, creo que es genial para ocultar el tema dir fuera del directorio "wp-content".Un bit que a menudo se pierde: eliminar
readme.html
en la raíz de WordPress. No solo identifica la instalación como WP sino que también tiene una versión precisa. Y no olvides repetir las actualizaciones.Pregunta relacionada: Impedir el acceso o eliminar automáticamente readme.html, license.txt, wp-config-sample.php
fuente
Siempre he usado el método Roots Theme .
Pero aplicarlo a los ThemeJungle que hay suele ser un gran dolor de cabeza.
Entonces, comenzó a jugar con las
WP_CONTENT_*
constantes. Lo cual creo que es un método mucho menos propenso a errores y esto es lo que tengo trabajando en este momento:/m
es lauploads
carpeta,/t
es lathemes
carpeta y/t/t
es la carpeta del tema activo. El sitio no es complejo, por lo que se cargan pocos activos ...WP_CONTENTLESS
wp-config.php
Configuración
wp-content
de la raíz (/public_html/
) del sitio.Lo he preguntado en [wp-hackers]. ¿Alguna desventaja al configurar WP_CONTENT_DIR (y URL) en DOCUMENT_ROOT? , donde John Blackbourn 1 , Mike Little 2 y Otto 3 tuvieron la amabilidad de aconsejar:
Una nueva carpeta de temas
/mu-plugins/set-extra-themes-folder.php
Como no hay
WP_THEMES_*
constantes, necesitamos la función register_theme_directory () para " Registrar un directorio que contiene temas " .Intenté establecer el directorio adicional en la raíz, pero los resultados son divertidos (es decir, no funciona).
Sube carpeta
/wp-admin/options-media.php
En lugar de
http://example.com/uploads
, lo seráhttp://example.com/m
.Desmarcar
Organize my uploads into...
dará una apariencia WPless a las URL de los activos.Si el sitio está activo, se debe realizar una búsqueda / reemplazo en la base de datos y los archivos deben moverse.
Complementos y contenido principal
Consulte la
Cris_O
respuesta en estas preguntas y respuestas.Léame.html
Consulte la
Rarst
respuesta en estas preguntas y respuestas.Otros pasos
Como de costumbre, los temas de ThemeJungle pueden provocar hacks específicos en el tema.
Como ... TimThumb no funciona (!!! jajaja !!!).
fuente
La única respuesta válida: IMPOSIBLE
Tantas respuestas muy votadas ... es hora de dejar las cosas claras. Bueno, la verdad es que es prácticamente imposible e incluso si lo es, la vida es probablemente demasiado corta como para esforzarse. Cualquier respuesta que promueva pasos para ocultar WP es solo una pérdida de tiempo y lo engañará pensando que está ocultando su WP (eso es absurdo).
1) El problema no son las
wp-*
URL obvias , el meta generador, etc. Los problemas difíciles son los patrones asociados con WordPress que un sistema local no se molestará en implementar como páginas de autor, año, mes, día, use p = nnn como parámetro válido, tenga un formulario de comentarios con la clase de comentarios, estructura y nombres de enlaces de WordPress, y luego existe la autopromoción de los complementos de almacenamiento en caché y el SEO más reciente y probablemente muchos otros complementos que solo ve cuando inspecciona el propio HTML.2) Hay otros métodos no contados que muestran la existencia de WP (y no se puede superar eso):
Incluso el encabezado de respuesta php (como señaló Dan Gayle debajo de mi respuesta) devuelve el encabezado WP específico.
Cualquiera puede consultar cualquiera de los archivos .php raíz de decenas:
site.com/wp-cron.php
osite.com/xmlrpc.php
(o etc., que no puede ocultar) y la respuesta del encabezado será en200
lugar de404 not found
.cualquiera puede verificar si tiene puntos finales json para obtener una respuesta específica de WP.
Dentro de la página HTML, muchos de
.css
o.js
archivo tiene unas frases específicas, que claramente se refiere a WP.Dentro de la página HTML, es fácil encontrar los elementos / clases CSS, como
<div class="entry-content post-14"...
o etc. (que es una pista directa de que la estructura utilizada es de WP)Dentro de la página HTML, verá fácilmente la
uploads
carpeta, o incluso si cambia el nombre con codificación rígida, la parte de fecha comouploads/2018/05/image.jpg
(o inclusoimage-315x225.jpg
) muestra la estructura típica de WP.como muchos sitios ahora están construidos usando MultiSite, usa ie
/site/2
en enlaces ...haga ping a cualquier archivo Léame de complementos / temas (todos ellos contienen), como
plugin-name/readme.txt
, devolver el estado200
.¡y muchas, muchas, muchas otras cosas que usted (o incluso los profesionales) no podrán ocultar y simplemente desperdiciarán sus días!
conclusión
E incluso si se esfuerza por limpiar todo lo que indica que se trata de un wordpress, es posible que deba rehacer o al menos volver a verificar después de cada complemento o actualización principal. La vida es demasiado corta para eso.
Puede confundir algunos diletantes, pero no puede esconderse de un buen inspector. Si esto se hace como una medida de seguridad, entonces es la seguridad por oscuridad lo que siempre está mal, y si simplemente te avergüenzas de usar wordpress, entonces déjame decirte algo: a nadie le importa, e incluso los pocos que lo hacen probablemente no lo harán. saber cómo resolverlo por sí mismo.
Lo único que debería importarle es que proteja WP tanto como pueda y controle sus actualizaciones periódicas.
fuente
Puede tener WordPress en un servidor y raspar su contenido de otro solo incluyendo el contenido que necesita.
Si necesita RSS, tendría que hacer lo mismo con eso.
Efectivamente sería como servir páginas estáticas desde un proxy o CDN, pero solo los bits que desea servir. Entonces, también podría usar un sistema de comentarios basado en JavaScript, como Disqus.
Uso de recursos realmente bajo, porque aquí no hay bases de datos en el servidor que sirve el contenido.
fuente
Puede crear su dirección personalizada para iniciar sesión en su blog. Al no utilizar la ruta clásica "myblog.com/wp-admin" para llegar a su panel de control Esta página lo ayudará a crear inicios de sesión sigilosos, esto también es bueno para las medidas de seguridad.
Entonces, las personas que agreguen wp-admin a su blog, no podrán adivinar :)
fuente
Además de lo anterior, debe bloquear el acceso a los diversos
wp*
archivos y directorios. Si alguien quisiera ver si estabas ejecutando WP, podrían adivinar si tuvistewp-settings.php
o si pudieron acceder a algún directorio. Devolver un 403 no es suficiente porque le dice al usuario que el recurso existe; simplemente no tienen acceso a él.No soy un experto en Apache, así que hice esta pregunta sobre serverfault.
fuente
No olvide que gran parte de la información del encabezado http que se envía junto con su solicitud puede identificar que su sitio se ejecuta en WordPress. Por ejemplo, si marca los encabezados en los siguientes sitios, es obvio:
Algunos de ellos están configurados por el servidor, algunos están configurados por complementos, por lo que no hay una manera para que yo diga cómo eliminar el 100% de ellos, pero si está usando PHP 5.3 puede usar
header_remove("X-Foo");
( http://www.php.net/manual/en/function.header-remove.php )para eliminar un encabezado PHP conocido antes de que su contenido sea expulsado. No puedo decir con certeza dónde colocar esto (tal vez alguien más pueda aportar esa información), pero probablemente sea seguro colocarlo en la parte superior de su index.php ANTES de cualquier contenido que se envíe al navegador.
fuente
Esto puede ser difícil de lograr si eres nuevo en php y mod_rewrite. Sugiero que verifique con la sección de mi respuesta. O pruébelo usted mismo, puede usar algo como esto para ocultar la estructura de ruta de wp-content / plugins:
Esto cambiará la ruta a / modules. Utilice algo similar para otra estructura, es posible que necesite algunas reescrituras avanzadas, consulte http://httpd.apache.org/docs/current/mod/mod_rewrite.html para obtener información adicional sobre mod_rewrite.
Si prefiere algo listo para usar, hay algunos buenos complementos, algunos comerciales, también gratuitos en el repositorio de WordPress, le sugiero que pruebe WP Hide & Security Enhancer . Esto incluye muchas cosas y ayuda a cambiar casi todo para que tu WordPress sea irreconocible. Estas son algunas características del código:
y muchos más..
fuente
No quiero repetir las opciones de codificación ya que se han cubierto exhaustivamente, la otra opción que sé que funciona es usar un complemento que oculta wp. He usado este complemento antes con estándares satisfactorios. Se llama ocultar mi WordPress.
fuente
La mayoría de las respuestas se concentran en ocultar WordPress en el código fuente de una página, pero incluso antes de eso, WP ya se entregó en el encabezado http de una instalación estándar. Simplemente pruebe su propio sitio en un sitio como web-sniffer (pretenda ser IE 6 y solicite un encabezado http 1.0) y verá que entre los retornos está:
Este último es un enlace a la API de Wordpress.org . Está allí desde que la API REST se incluyó en WP 4.4. Puede eliminarlo con esta línea justo al comienzo de su
functions.php
:Muchos complementos, como Jetpack por sus enlaces cortos, también pueden insertar enlaces en el encabezado http. Pueden hacerlo, porque WP tiene una API HTTP , que le permite manipular encabezados. Puede usar esta interfaz para eliminar todas las configuraciones de encabezado mediante complementos si agrega su acción lo suficientemente tarde en el proceso.
Finalmente, puede usar la interfaz de encabezado .htaccess para interceptar cualquier cosa que WP esté haciendo. Por ejemplo, puede evitar que se envíen encabezados de enlace incluyendo esta línea:
fuente
Puede personalizar un tema para excluir toda la información de WordPress. También elimine el meta widget y cualquier widget que genere información sobre la plataforma.
Personalmente, prefiero mostrar mi gratitud mostrando que estoy usando WordPress.
fuente
Puede usar el complemento WPS Ocultar inicio de sesión .
Usted inicia sesión en su wordpress usando
wp-admin
. Pero puedes cambiarwp-admin
a personalizado utilizando este complemento.Ejemplo:
Antes:
http://example.com/wp-admin
Después:
http://example.com/custom-text-to-login
fuente