WordPress 是一个开源的内容管理系统,正因为如此,WordPress 所有的源码都是公开的,这样一来,开源的程序漏洞如果未及时更新而被黑客发现,就会有遭受攻击的风险。实际上,WordPress 本身的安全性是非常可靠的,但如果我们把 WordPress 的众多特征隐藏,迷惑和误导黑客,让他们误以为是别的网站程序而发动错误的攻击,就可以达到加强网站安全的目的。
Hide My WP 这款插件的主要功能就是隐藏 WordPress 的信息特征,即使别人通过查看源代码和 URLs 的路径等方式,也不会知道你使用的是 WordPress 系统。接下来,我们将具体展示如何使用 Hide My WP 插件来加强 WordPress 网站的安全性。

什么是 Hide My WP?

利用 WPthemedetector 或 Whatwpthemeisthat,可以查询到你使用的主题或插件,但是在安装 Hide My WP 插件后, 查询结果就不会显示你使用的是 WordPress 网站。这个插件是一个安全工具,它可以帮你隐藏你使用 WordPress 的这个事实,让人无法获知你的 WordPress 版本号。此外,它也是一种反垃圾邮件插件,可以保护你免受大规模的野蛮攻击,以免更为激进的僵尸网络出现在你的 WordPress 安装程序中。
Hide My WP 插件有多种编程语言,包括 JS JavaScript 、 CSS 、 PHP 和 HTML 等,因此它可以在 WordPress v3.4 到 WordPress v4.1,甚至更高的版本运行。还有一点,它是一种可定制的插件,可以和你之前安装的插件一起运行。

具体功能

  • 去除 WP 的版本号
  • 禁用 WP 归档、分类、标签等
  • 更改固定链接
  • 更改插件和主题目录
  • 禁用订阅
  • 隐藏网站登录地址,使用你自己设置的登录地址
  • 针对不同使用者,设置隐藏的信息

怎样安装和激活这个插件

首先你应该去数字商城 (http://mall.weixiaoduo.com/item/hide-my-wp) 购买和下载这个 Hide My WP 插件。下载成功之后,你应该到 WordPress 仪表板然后找到 「插件」 并点击 「添加新的插件」 。接下来,点击 「上传插件」 按钮,从你的本地电脑选择你刚刚下载的压缩文件进行上传。上传成功之后,点击 「安装」,安装完成之后,系统将提示你激活这个插件。

如何配置这个插件

做完前面提到的这些准备工作之后之后,接下来你需要自己配置这个 Hide My WP 插件。

1. 在 「General Setting」 里进行设置

在 「General Setting」 这里有各种各样的编辑选项。首先,你有权使用主题 404 。你也能够从许多可选的选项里,设置可信用户,如 「作者」,「投稿者」,「订阅者」,「网店管理人」 等等。
同时,你可以隐藏 wp-login.php 文件和一些不可信用户的 wp-admin 文件夹。如果你已经有了一个定制的.htaccess 而且不想用 HMWP 进行频繁的更新,那你需要选择 「Customized .htaccess」 。
向下滚动,你可以从 header 删除自动生成的 feeds,也可以从脚本和样式 URLs 中删除版本号。此外,你还可以隐藏管理栏,PHP 文件和其他不明用户的文件。如果需要,你可以使用关键字替换在你的 HTML 输出中,同时,填写你的电子邮件发送者地址和名称。当然,如果你对当前的设置不满意的话,你可以恢复到默认设置。
设置「General Setting」

2. 在 「Permalinks & URLs」 里设置固定链接

在这个部分,你需要改变和创建不同的路径和链接结构,为的是消除 WordPress 链接漏洞。或者更确切的说,你可以创建新的主题路径,新的样式名,新的 wp-includes 文件的路径等等。此外,你可以启用 HVWP 反垃圾邮件系统,改变每一个插件文件夹的名称和 Ajax URL 。
另外,你还可以进行一系列的个人设置,如 「Author」,「Feeds」,「Post」,「Page」,「Category」,「Paginate」 等等,所有这些选项可以防止恶意软件检测到你目前使用的是 WordPress 网站。除了这些以外,你还能够禁用存档查询和 WP 的其它特征。当然,这里的这些设置也是可以恢复默认的。
在「Permalinks & URLs」里设置固定链接

3. 在 「Start」 里进行设置

完成以上设置之后,你需要在 「start」 的 「Export Options」 里可以输出所有设置的代码,将这个代码复制到其他站点,不需要再重复设置。
在「Start」里进行设置

总结

这款插件基本上可以将 WordPress 所有的特征在前端隐藏,这样就可以基本上为网站做到程序上的隐身和迷惑,让攻击者无法知道程序是什么,从而加大网站攻击的难度。但是这个方法只能是迷惑和误导,并没有真正意义上的防御功能。保护你的 WordPress 网站是一场持久战,需要大量时间和金钱的投入。