WordPress kullandığımız konusunda ihtiyatlı olmaya çalıştığımız bir web sitem var. Daha az belirgin hale getirmek için hangi adımları atabiliriz?

EDIT - Önemli güvenlik notu:

Lütfen bunu mükemmel bir şekilde yapmanın Mark'ın cevabına göre imkansız olduğunu anlayın , bu nedenle güvenlik önlemi olarak buna güvenmeyin.

En büyük WordPress hediye <head> </head>etiketleri arasındadır .

Örnek The Twentyten Theme tarafından hazırlanan WordPress başlık içeriği ve nasıl kaldırılacağı:

<link rel="profile" href="http://gmpg.org/xfn/11" /> 

Doğrudan header.php'den kaldır

 <link rel="stylesheet" type="text/css" media="all" href="http://example.com/wp-content/themes/twentyten/style.css" /> 

Stil sayfanızı başka bir yerden arayarak WordPress'i gizleyin ve wp-content dizinini değiştirin. WordPress, temanızın style.css (bazı stil.css tema kök dizininde olmalıdır) üstüne bazı temel bilgiler içermesini gerektirir. Alternatif bir CSS oluşturmanız ve onu başınızdan çağırmanız gerekir. WordPress temaları style.css kullanmanızı gerektirmez, sadece temalar dizininde olmasını gerektirir.

Doğrudan header.php'den kaldır

<link rel="alternate" type="application/rss+xml" title="Example Blog &raquo; Feed" href="http://example.com/feed/" /> 
<link rel="alternate" type="application/rss+xml" title="Example Blog &raquo; Comments Feed" href="http://example.com/comments/feed/" />    
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="http://example.com/xmlrpc.php?rsd" /> 
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="http://example.com/wp-includes/wlwmanifest.xml" /> 
<link rel='index' title='Example Blog' href='http://example.com/' /> 
<meta name="generator" content="WordPress 3.1-alpha" /> 

Bu ekstra bağlantıları kaldırmak için functions.php dosyasına bir filtre ekleyebilirsiniz.

// remove junk from head
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'index_rel_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'feed_links_extra', 3);
remove_action('wp_head', 'start_post_rel_link', 10, 0);
remove_action('wp_head', 'parent_post_rel_link', 10, 0);
remove_action('wp_head', 'adjacent_posts_rel_link', 10, 0);

Eklenti dizini ve wp-içerik dizini wp-config.php dosyanızda değiştirebilirsiniz, ancak temanız veya herhangi bir eklenti dosyaları çağırmak için uygun yöntemi kullanmıyorsa, bazı problemler yaşayabilirsiniz.

define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/new-wp-content' );

WP_CONTENT_URL, bu dizinin tam URI'sine ayarlayın (sondaki eğik çizgi yok), örneğin

define( 'WP_CONTENT_URL', 'http://example/new-wp-content');

İsteğe bağlı WP_PLUGIN_DIR dizini bu dizinin tam yerel yoluna ayarla (eğik çizgi yok), örneğin

define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/new-wp-content/new-plugins' );

WP_PLUGIN_URL dosyasını bu dizinin tam URI'sine ayarlayın (sondaki eğik çizgi yok), örneğin

define( 'WP_PLUGIN_URL', 'http://example/new-wp-content/new-plugins');

PLUGINS

Akismat, Hepsi Bir Arada SEO, W3-Toplam Önbellek, Süper Önbellek ve diğerleri gibi bazı eklentilerin HTML çıktısına yorum eklediğini unutmayın. Çoğu yorumu kaldırmak için değiştirmesi kolaydır, ancak eklentiler güncellendiğinde değişikliklerin üzerine yazılacaktır.

WP-içeren

Wp-include dizini jquery'yi ve temaların veya eklentilerin wp_enqueue_script () kullanarak çağıracağı çeşitli diğer js dosyalarını tutar. Bunu değiştirmek için, varsayılan WordPress komut dosyalarının kaydını kaldırmanız ve yeni konumu kaydetmeniz gerekir. Functions.php dosyasına ekleyin:

function my_init() {
    if (!is_admin()) {
        // comment out the next two lines to load the local copy of jQuery
        wp_deregister_script('jquery');
        wp_register_script('jquery', 'http://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js', false, '1.3.2');
        wp_enqueue_script('jquery');
    }
}
add_action('init', 'my_init');

Bunun temanız veya eklentileriniz tarafından kullanılan her komut dosyası ile yapılması gerekecektir.

Kaçırılan bir bit - readme.htmlWordPress kök dizininde silin . Kurulumu sadece WP olarak tanımlamakla kalmaz aynı zamanda kesin bir versiyona da sahiptir. Ve güncellemeleri tekrarlamayı unutma.

İlgili Soru: Readme.html, license.txt, wp-config-sample.php erişimini engelleme veya otomatik silme

Her zaman Roots Theme yöntemini kullandım .
Ama onu ThemeJungle'dakilere uygulamak genellikle büyük bir baş ağrısı.

Böylece WP_CONTENT_*sabitlerle oynamaya başladı . Ki bence çok daha az hata eğilimli bir yöntem ve şu an üzerinde çalıştığım şey şudur:

^{/molduğu uploadsklasör /tolduğu themesklasör ve /t/taktif tema klasörüdür. Site karmaşık değil, bu yüzden az sayıda varlık yüklü ...}

WP_CONTENTLESS

wp-config.php

Sitenin wp-contentköküne ( /public_html/) ayarlanması .

/** 
 Inside WP_CONTENT, the following folders should exist: 
 /languages , /mu-plugins , /plugins , /themes , /upgrade , /uploads  

 The WP_CONTENT_* definitions bellow REMOVE the existence of the /wp-content folder 
 and makes its contents reside in the ROOT of your site

 UTTERMOST attention is necessary when doing file maintenance activities in the server (i.e.: WP upgrades, new Webmaster...), 
 as the Themes and Plugins folders are meant to be renamed to /t and /p (serious candidates for unthoughful removal)

 PLEASE note:
 - we change the Plugins folder in WP_PLUGIN_* definitions
 - the Themes folder is changed by a MustUse Plugin 
   (/mu-plugins/set-extra-themes-folder.php)
 - the Uploads folder is changed in WordPress settings page 
   (http://example.com/wp-admin/options-media.php)
 - the hardcode path to be used in WP_CONTENT_DIR and WP_PLUGIN_DIR can be checked using an action inside the set-extra-themes-folder Plugin (check the comments in this file)
*/
define( 'WP_CONTENT_DIR', '/www/htdocs/username/public_html' );
define( 'WP_CONTENT_URL', 'http://www.example.com' );

define( 'WP_PLUGIN_DIR', '/www/htdocs/username/public_html/p' );
define( 'WP_PLUGIN_URL', 'http://www.example.com/p' );

Bunu [wp-hacker] 'da sordum - WP_CONTENT_DIR (ve URL)' nin DOCUMENT_ROOT olarak ayarlanmasında sakınca var mı? John Blackbourn ¹ , Mike Little ² ve Otto ^3'ün tavsiyelerde bulunulacak kadar kibar oldukları:

^{1
Bu yapıyı 18 aydır bir sitede aktif hale getirdim ve herhangi bir problem yaşamadım. İçerik dizininin konumunda yapılan değişikliklerde olduğu gibi, siteye eklediğiniz tüm eklentileri, içerik dizininin içinde olduğunu varsaymadığınızı iki kez kontrol etmeniz gerekirwp-content.}

^{2
Ağın etrafında$_SERVER['DOCUMENT_ROOT']saldırıya açık olabilecektartışmalar var. Bu durumda bu son derece tehlikelidir, çünkü orequire()veyabirçok yer vardırinclude() WP_CONTENT_DIR. 'şey';}

^{3
İçeriğin$_SERVERtamamen güvenli olabileceğidurumlar vardır, ancak güvenlik nedeniyle, her zaman güvenilir olmayan veriler olarak değerlendirmek daha iyidir. Bu özel durumda, dizini sabitleyin.}

Yeni Bir Tema Klasörü

/mu-plugins/set-extra-themes-folder.php

Hiçbir var gibi WP_THEMES_*sabitleri, biz işlevi ihtiyacımız register_theme_directory () "için . Temaları içeren bir dizin Kayıt "
köküne ekstra dizini ayarlanmaya çalışıldı ancak sonuçlar şunlardır komik (yani: çalışmıyor).

<?php
/*
    Plugin Name: Set Extra Themes Folder
    Version: 1.0
    Description: Allows the directory - http://example.com/t - to be used as an extra theme's directory
    Plugin URI: http://wordpress.stackexchange.com/questions/1507
    Author: brasofilo
    Author URI: http://rodbuaiz.com
*/


/**
 * Remove the comment from the following line to know the correct path to put in register_theme_diretory()
*/
//add_action( 'admin_head', 'brsfl_alert_directory_path' );

function brsfl_alert_directory_path()
{
    echo '<script type="text/javascript">
        alert("Directory: '.$_SERVER['DOCUMENT_ROOT'].'");
    </script>';
}


/**
 * The following will enable the directory "t" to be used as an EXTRA Themes directory
*/
register_theme_directory( '/www/htdocs/username/public_html/t' );


/**
 * De-registering default scripts in wp-includes for CDN ones
*/
add_action('init', 'brsfl_init_scripts');

function brsfl_init_scripts() 
{
    if ( !is_admin() ) 
    {
        wp_deregister_script( 'jquery' );
        wp_deregister_script( 'swfobject' );
        wp_register_script( 'jquery', 'http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js', false, '1.7.1' );
        wp_register_script( 'swfobject', 'https://ajax.googleapis.com/ajax/libs/swfobject/2.2/swfobject.js', false, null, true );
        wp_enqueue_script( 'jquery' );
        wp_enqueue_script( 'swfobject' );
    }
}

Klasörü Yükler

/wp-admin/options-media.php

Bunun yerine, http://example.com/uploadsolacak http://example.com/m.
İşaretini kaldırmak Organize my uploads into...bir verecektir WPless varlıkları URL görünüm.
Site yayındaysa, veritabanında bir arama / değiştirme yapılmalı ve dosyalar taşınmalıdır.

Eklentiler ve Baş İçeriği

Cris_OBu Soru ve Cevapdaki Cevaba bakınız .

ReadMe.html

RarstBu Soru ve Cevapdaki Cevaba bakınız .

Diğer adımlar

Her zamanki gibi, ThemeJungle temaları, temada belirli bölümleri sorabilir.
Gibi ... TimThumb çalışmıyor (!!! lol !!!).

Tek geçerli cevap: IMPOSSIBLE

Pek çok yüksek oyu yanıtladı ... rekoru kırma zamanı. Gerçek şu ki, neredeyse imkansızdır ve öyle olsa bile, yaşamın çaba sarf etmesi için çok kısa olması. WP'yi gizleme adımlarını teşvik eden herhangi bir cevap, zamanınızın sadece bir israfıdır ve WP'nizi sakladığınızı (saçma) düşündüğünü yanlış yönlendirir.

1) Sorun bariz wp-*url'ler, jeneratör meta vs. değildir. Zor problemler, bir ev yetiştirilen sistemin yazar sayfaları, yıl, ay, gün sayfaları, p = kullanımı gibi uygulama için zahmet etmeyeceği wordpress ile ilişkili kalıplarla ilişkilidir. Geçerli bir parametre olarak nnn, wordpress comment sınıfı, yapısı ve bağlantı adları ile yorum formuna sahip ve ardından önbellekleme eklentileri ile yoastik SEO ve muhtemelen yalnızca HTML'yi incelediğinizde gördüğünüz diğer pek çok eklentinin tanıtımını yapın.

2) WP'nin varlığını gösteren sayılmamış başka yöntemler var (ve bunu yenemezsiniz):

• Hatta php yanıt başlığı (cevabımın altındaki Dan Gayle tarafından belirtildiği gibi) özel WP başlığını döndürür.

• Herkes sadece onlarca kök .php dosyasını sorgulayabilir: site.com/wp-cron.phpveya site.com/xmlrpc.php(veya gizleyemediğiniz vb.) Ve başlık cevabı 200yerine olacaktır 404 not found.

• Herkes kontrol edebilir, WP'ye özel cevaplar almak için json uç noktalarına sahiptir.

• Sayfa HTML içinde, birçok .cssveya .jsdosya belirli ifadeler vardır, açıkça WP ifade eder.

• HTML sayfasının içinde, unsurları / css sınıflarını, like <div class="entry-content post-14"...veya etc (bu yapı kullanılan WP olan doğrudan bir ipucu) gibi bulmak kolaydır.

• HTML sayfasının içinde, uploadsklasörü kolayca göreceksiniz veya sabit kodla yeniden adlandırsanız bile, o zamanki tarih uploads/2018/05/image.jpg(ya da hatta image-315x225.jpg) tipik WP yapısını gösterir.

• Artık birçok site MultiSite kullanılarak oluşturulduğundan, /site/2bağlantılarda yani :

• herhangi bir eklenti / tema benioku (ping içinde hepsi) ping plugin-name/readme.txt, geri dönen durumu gibi 200.

• ve birçok, birçok, sizin (hatta profesyonellerin) saklayamayacağı ve sadece günlerinizi boşa harcayacağınız diğer birçok şey!

Sonuç

Ve bunun bir kelime olduğunu gösteren her şeyi temizleme çabası içindeyseniz bile, her eklenti veya çekirdek güncellemesinden sonra tekrarlamanız veya en azından yeniden denetlemeniz gerekebilir. Hayat bunun için çok kısa.

Bazı tercümanları yanlış yönlendirebilirsin ama iyi bir müfettişten saklanamazsın. Bu bir güvenlik önlemi olarak yapılırsa, o zaman her zaman yanlış olan belirsizlikten korunma olur ve eğer sadece wordpress kullanmaktan utanıyorsanız, o zaman size bir şey söyleyeyim - hiç kimse umursamaz ve hatta muhtemelen çok az bir şey yapmaz. kendileri tarafından nasıl çözüleceğini biliyorum.

Dikkat etmeniz gereken tek şey, WP'yi olabildiğince korumanız ve düzenli güncellemelerini izlemeniz.

WordPress'i bir sunucuda kullanabilir ve içeriğinizi yalnızca ihtiyacınız olan içerik de dahil olmak üzere diğerinden sıyrılabilir.

RSS’ye ihtiyacınız varsa, bununla aynı şeyi yapmalısınız.

Etkili bir proxy veya CDN'den statik sayfalar sunmak gibi olur, ancak yalnızca sunmak istediğiniz bitler gibi. Daha sonra sadece Disqus gibi javascript tabanlı bir yorum sistemi kullanabilirsiniz.

Gerçekten düşük kaynak kullanımı, çünkü burada içerik sunan sunucuda veri tabanı yok.

Blogunuza giriş yapmak için özel adresinizi oluşturabilirsiniz. Kontrol panelinize ulaşmak için klasik “myblog.com/wp-admin” yolunu kullanmamak Bu sayfa gizli girişler oluşturmanıza yardımcı olur, bu aynı zamanda güvenlik önlemleri için de iyidir.

Blogunuza wp-admin ekleyen ppl, tahmin edemezsiniz :)

Yukarıdakilere ek olarak, çeşitli servislere erişimi kilitlemeniz gerekir. wp* dosyalara ve dizinlere . Birisi WP kullanıp kullanmadığınızı görmek istiyorsa, sahip wp-settings.phpolup olmadığınızı veya bir dizine erişip erişemediklerini görmeyi tahmin edebilir. Bir 403'ü döndürmek yeterli değildir, çünkü kullanıcıya kaynağın var olduğunu söyler; Onlar sadece erişemezler.

Ben bir apache uzmanı değilim, bu yüzden serverfault üzerinden bu soruyu sordum .

İsteğinizle birlikte gönderilen http başlık bilgilerinin birçoğunun sitenizi WordPress'te çalıştığını tanımlayabileceğini unutmayın. Örneğin, aşağıdaki sitelerin başlıklarını kontrol ederseniz, aşikardır:

$ curl -I http://www.rollingstones.com/
Server: WP Engine/5.0

$ curl -I http://www.mattcutts.com
X-Powered-By: W3 Total Cache/0.9.1.3

$ curl -I http://blogs.reuters.com/us/
WP-Super-Cache: Served supercache file from PHP

Bunlardan bazıları sunucu tarafından ayarlandı, bazıları eklentilerle ayarlandı, bu yüzden% 100'ünün nasıl kaldırılacağını söylememin bir yolu yok, ancak PHP 5.3 kullanıyorsanız kullanabilirsiniz.

header_remove("X-Foo");( http://www.php.net/manual/tr/function.header-remove.php )

İçeriğiniz dışarı atılmadan önce bilinen bir PHP başlığını kaldırmak için Bunu nereye koyacağınıza dair kesin bir şey söyleyemem (belki başka biri bu bilgiyi arayabilir), ancak tarayıcıya gönderilmeden ÖNCE, index.php dosyasının en üst kısmına koymak muhtemelen güvenlidir.

PHP ve mod_rewrite için yeni iseniz bu elde etmek zor olabilir. Benim önerim, cevabımın bölümünü kontrol etmen. Veya kendiniz deneyin, wp-content / plugins path yapısını gizlemek için böyle bir şey kullanabilirsiniz:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^modules/(.*) /wp-content/plugins/$1 [L,QSA]
</IfModule>

Bu, / modüllere giden yolu değiştirecektir. Diğer yapı için benzer bir şey kullanın, bazı ileri yazma işlemlerine ihtiyacınız olabilir, bkz. Http://httpd.apache.org/docs/current/mod/mod_rewrite.html ek mod_rewrite bilgileri için .

Kutunun dışında bir şey tercih ederseniz, bazıları WordPress deposunda ücretsiz, bazı ticari eklentiler var, WP Hide & Security Enhancer'i denemeyi öneriyorum . Bu, birçok şeyi içerir ve WordPress'inizi tanınmaz hale getirmek için hemen hemen her şeyi değiştirmenize yardımcı olur. İşte kodun bazı özellikleri:

• Özel Yönetici URL'si
• Özel Yönetici URL'si
• Varsayılan yönetici URL'sini engelle
• Yapısını tamamen gizlemek için herhangi bir doğrudan klasör erişimini engelleyin
• Özel wp-login.php dosya adı
• Varsayılanı engelle wp-login.php
• Varsayılan wp-signup.php'yi engelle
• XML-RPC API'sını engelle
• Yeni XML-RPC yolu
• Ayarlanabilir tema url'si
• Yeni alt tema URL'si
• Tema stil dosyası adını değiştirin
• Özel wp-dahil
• Varsayılan wp-include yollarını engelle
• Defalt wp içeriğini engelle
• Özel eklentiler URL'leri
• Bireysel eklenti url değişikliği
• Varsayılan eklenti yollarını engelle
• Yeni yükleme url'si
• Varsayılan yükleme URL'lerini engelle
• WordPress sürümünü kaldır
• Meta Jeneratör bloğu
• Emoji ve gerekli javascript kodunu devre dışı bırakın
• Geri sarma etiketini kaldır
• Wlwmanifest Meta öğesini kaldır
• Rsd_link Meta öğesini kaldır
• Wpemoji'yi kaldır

ve daha fazlası..

Kapsamlı bir şekilde kaplandığından kodlama seçeneklerini tekrarlamak istemiyorum, diğer işe yaradığını biliyorum wp'yi gizleyen bir eklenti kullanıyor. Daha önce bu eklentiyi tatmin edici standartlar için kullandım. Adı WordPress'imi gizle.

Yanıtların çoğu WordPress'i bir sayfanın kaynak kodunda gizlemeye odaklanmıştır, ancak WP daha önce standart bir kurulumun http başlığında kendisini vermiştir. Kendi web sitenizi web sniffer (IE 6 gibi davranın ve http 1.0 üstbilgisi isteyin) gibi bir sitede deneyin ve iadelerin arasında olduğunu göreceksiniz:

<http://www.example.com/wp-json/>; rel="https://api.w.org/"

İkincisi, Wordpress.org API'sine bir linktir . REST API WP 4.4'e dahil edildiğinden beri var. Bu satırdan baştan başlayarak kaldırabilirsiniz functions.php:

remove_action( 'template_redirect', 'rest_output_link_header', 11, 0 );

Kısa paketleri için Jetpack gibi pek çok eklenti de http başlığına bağlantılar ekleyebilir. Bunu yapabilirler, çünkü WP'de başlıkları değiştirmenize izin veren bir HTTP API vardır . İşleminizi yeterince geç eklerseniz, bu arayüzü tüm başlık ayarlarını eklentilerden kaldırmak için kullanabilirsiniz.

Son olarak, WP'nin yaptığı herhangi bir şeyi engellemek için .htaccess başlık arayüzünü kullanabilirsiniz . Örneğin, bu satırı ekleyerek herhangi bir Bağlantı başlığının gönderilmesini önleyebilirsiniz:

<IfModule mod_headers.c>
Header unset Link
</IfModule>

Tüm WordPress bilgilerini hariç tutmak için bir temayı özelleştirebilirsiniz. Ayrıca meta widget'ı ve platform hakkında bilgi çıkaran herhangi bir widget'ı da kaldırın.

Şahsen, WordPress kullandığımı göstererek minnettarlığımı göstermeyi tercih ederim.

Eklentiyi WPS Giriş Gizle kullanabilirsiniz .
Kullanarak wordpressinize giriş yapın wp-admin. Ama değiştirebilirsinizwp-admin bu eklentiyi kullanarak özel olarak .

Örnek:

Önce: http://example.com/wp-admin
Sonra: http://example.com/custom-text-to-login