WP Hide PRO 插件可以在前端代码中隐藏所有关于 WordPress 的任何痕迹,从而提升网站的安全性,因为网络上超过 99,99% 的黑客攻击都是针对网站上特定插件或主题漏洞的攻击。
WP Hide & Security Enhancer PRO 插件的基本原理
其实 WP Hide & Security Enhancer PRO 插件就是通过URL重写的方式,将网页代码中 WordPress 默认的URL路径重写成其它自定义URL。
例如:几乎所有的 WordPress 网站都会加载下列CSS或JS:
- 网站/wp-includes/css/dist/block-library/style.min.css?ver=WP版本号
- 网站/wp-includes/js/jquery/jquery.min.js?ver=x.x.x
这样一来,很容易暴露网站使用的是 WordPress 程序以及版本。
如果通过 Nginx 或 Apache 的重写规则,将上述URL替换成自定义的路径同时隐藏或替换后面的版本号,就不那么容易被黑客的扫描程序发现网站使用的是WordPress了。
另外还可以将 WordPress 默认的 /wp-admin/login.php 登录URL也重写成其它自定义URL地址,这可以防止黑客进行暴力破解。
部分主题或插件会在前端代码中输出一些注释文本,例如 Yoast SEO 插件会输出类似下面的注释代码:
<!-- This site is optimized with the Yoast SEO Premium plugin v19.4 (Yoast SEO v19.9) - https://yoast.com/wordpress/plugins/seo/ -->这也是一些给攻击者找到漏洞的隐患。
除了上面提到的这些蛛丝马迹之外,WordPress 本身会产生一些HTML标签,例如:
<meta name="generator" content="WordPress 6.1" />安装 WP Hide & Security Enhancer PRO 插件
关键的步骤是插件启用后,如果是 Nginx 服务器,则需要添加一段规则代码至主机配置文件中。如果是Apache服务器,插件会自动生成规则的.htaccess文件。
这里需要注意的是这段代码需要插入到 Nginx 的主机配置文件“ location /”块之前。如果是宝塔面板,可以放置在伪静态配置里的最上方,也就是伪静态规则之前。
设置 URL 重写规则
在插件的设置菜单中选择“Hide→ Rewrite”,进入到重写规则的设置界面。
如上图所示,经过设置后,原URL中的所有“/wp-content”被替换成了“/zhanzhangb”,并且禁止了原URL的访问(返回404)。
这里需要说明一下,所有存储在数据库中的帖子内容中的URL不会被改变,仅在输出的HTML中变更。
按照上面的方法,可以将wp-includes目录、以及主题、插件、uploads目录以及feed等URL全部重新自定义一下。
由于修改了重写URL,所以Nginx的重写规则也需要重新设置。设置的方法和上面相同。
设置 General / Html
另外可以在HTML选项中,开启自动删除HTML注释。
通过 WP Hide & Security Enhancer PRO 插件将所有能被人发现与WordPress相关的所有信息都隐藏起来,至少让一些自动扫描程序无法发现网站所使用的程序信息。
插件所有的前端代码更改都是通过WordPress的钩子完成的,所以并不会真实的改变数据库中存储的任何信息。
