WordPress是一个开源的网站程序系统,这也意味着,WordPress所有的源码都是公开的,开源程序的好处在于,所有人看到源码之后,会更快的发现漏洞,从而打上补丁,但凡事都有双面性,开源的程序也在一定程度上有着被发现漏洞未及时更新而遭受的攻击。
我们知道,WordPress本身的安全性是非常可靠的,如果我们隐藏的WordPress的众多特性,迷惑和误导黑客,让他们误以为是别的网站程序而发动错误的攻击,从而达到保护网站安全的效果
想要知道一个网站是否是WordPress程序,可以从url来判断。
查看源码,观察加载样式表(css文件)、脚本(js)文件的路径
WordPress的目录结构是固定的,分为wp-content、wp-admin、wp-includes三个文件夹,而主要加载到前端的文件存放在wp-content中,wp-content下有主题文件夹(themes)、图片等附件上传的文件夹(uploads)、插件文件夹(plugins)。
了解以上结构,我们就可以从wordpress主题(网站模板)、网站插件、和网站附件的路径进行确认这个网站是否是WordPress。
网站模板可以观察源码中<head> 加载css和js文件的路径如此 :....\ wp-content\themes\..... 这样就可以判断网站是使用的WordPress,因为我们看到WordPress的内容文件夹(wp-content)和主题文件夹(themes)
观察插件同上:....\ wp-content\plugins\.....
观察文章正文图片同上:....\wp-content\uploads\....
观察网站动态url
WordPress动态链接特征如下,访问网站不同的页面,查看下动态链接是否符合如下,即可判断是否是WordPress:
搜索:?s= xxxx (可使用:域名/?s=关键词 直接尝试是否可以跳转搜索页面)
标签:?tag=xxx 或者静态 tag/xxx
文章:?p=xxx (动态特征,若使用伪静态链接则无明显特征)
分类: ?cat=xxx 或者静态 ... /category/...
页面: ?pageid=xxxx(动态特征,若使用伪静态链接则无明显特征)
尝试访问网站后台,查看是否是WordPress默认后台地址
可以访问 : 域名/wp-admin 或者 域名/wp-login.php 是否显示WordPress界面
以上一些常见的方式可以让我们在前端查看网站是否是WordPress程序制作的。这些特征如果是熟悉WordPress就可以非常容易的猜出了。
Hide My WP这款插件的主要功能就是隐藏Wordpress的信息特征,使别人通过查看源代码和URLs的路径等方式,都不知道你使用的是wordpress系统。从而起到保护网站安全的作用。
下载地址:http://pan.baidu.com/s/1kTrKw5p
具体功能如下:
1.去除WP的版本号
2.禁用WP归档、分类、标签等
3.更改固定连接
4.更改插件和主题目录
5.禁用订阅
6.隐藏网站登录地址,使用你自己设置的登录地址。
7.针对不同使用者,设置隐藏的信息。
1.先在“General Settings”里进行设置。
2,在“Permalinks&URLs”里设置固定链接
3.设置完成后,在“start”的“Export Options”里可以输出所有设置的代码,这个代码复制到其他站点,就不需要重复设置了。
这是未做更改的源代码:
这是更改后的源代码:
这是没有做更改的目录链接:
这是更改后的目录链接:
这款插件基本上可以将WordPress所有的特征在前端隐藏,这样就可以基本上为网站做到程序上的隐身和迷惑,让攻击者无法知道程序是什么,加大攻击的难度,但是这个方法只能是迷惑和误导,并没有正真意义上的防御功能,所以该做好防御的地方还是要做好防御哦!
主题猫WP建站,累计帮助1300+客户成功建站,为站长提供支持!
立刻开启你的建站之旅
正版主题咨询 