home iconHome / wordpress / Passaggi da compiere per nascondere il fatto che un sito utilizza WordPress?

Passaggi da compiere per nascondere il fatto che un sito utilizza WordPress?

    • vote up icon 146 vote down icon
    • translation icon
    • view icon50206 calendar icon2010-09-08

    Ho un sito webperil quale stiamo cercando diessere discreti sulfatto che stiamo usando WordPress.Qualimisurepossiamo adottareper renderlomeno ovvio?

    EDIT- Notaimportante sulla sicurezza:

    Tienipresente chefarloperfettamente èimpossibile secondo la risposta di Mark,quindinonfare affidamento su questoperchéunamisura di sicurezza.

    security customization
    • Perché vorrestinascondere che stai usando Wordpress?
    • @ Wadih: Perchémi è stato detto difarlo
    • Questa è sicurezzaper oscurità.Se lo vogliono davvero,qualcunopuò correlareil comportamento dellegenerazioni dipaginee dimostrare chefunziona su unmotore wordpress.
    • * @ Wadih M. * - * "Securityby Obscurity" *non è l'unica ragioneper questo.Uno deimiei clienti vuole lo stessoma lo vuoleperché vuoleesserein grado di venderei propri serviziin hosting a clienti cheesiterebbero apagare un dollaro sepensassero * "Diamine,stanno solo usando WordPress." * Quindi è unmarchio/gioco dipercezione,non di sicurezza,almenoperilmio cliente.
    • Sei anni su cosìtanti siti utilizzano WordPress,nessunoti crederà comunque.;-)

12  risposta

  • voti
    • accept answer icon
    • translation icon
    • calendar icon 2010-09-08

    Ipiùgrandi omaggi WordPress sonotrai tag <head> </head>.

    Esempio di output di contenutoprincipale di WordPress da The Twentyten Themee come rimuoverlo: 

     <link rel="profile" href="http://gmpg.org/xfn/11" />

    Rimuovi direttamente da header.php 

      <link rel="stylesheet" type="text/css" media="all" href="http://example.com/wp-content/themes/twentyten/style.css" />

    Nascondi WordPress chiamandoiltuofoglio di stile da un'altraposizionee cambia la directory wp-content. WordPress richiede cheiltuotemaincluda alcuneinformazioni dibasenellaparte superiore di style.css (style.css deveesserenella directoryprincipale deitemi). Dovrai creare un CSS alternativoe chiamarlo dallatuatesta. WordPressnon richiede l'utilizzo ditemi style.css,richiede solo che sitrovinella directory deitemi.

    Rimuovi direttamente da header.php 

     <link rel="alternate" type="application/rss+xml" title="Example Blog &raquo; Feed" href="http://example.com/feed/" /> 
<link rel="alternate" type="application/rss+xml" title="Example Blog &raquo; Comments Feed" href="http://example.com/comments/feed/" />    
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="http://example.com/xmlrpc.php?rsd" /> 
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="http://example.com/wp-includes/wlwmanifest.xml" /> 
<link rel='index' title='Example Blog' href='http://example.com/' /> 
<meta name="generator" content="WordPress 3.1-alpha" />

    Per rimuovere questi collegamentiextrapuoi aggiungere unfiltro afunctions.php 

     // remove junk from head
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'index_rel_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'feed_links_extra', 3);
remove_action('wp_head', 'start_post_rel_link', 10, 0);
remove_action('wp_head', 'parent_post_rel_link', 10, 0);
remove_action('wp_head', 'adjacent_posts_rel_link', 10, 0);

    Puoi cambiare la directory deituoiplugine latua directory wp-contentneltuofile wp-config.phpmapotresti avere deiproblemi seiltuotema o qualsiasipluginnon usailmetodo correttoper chiamarei file. 

     define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/new-wp-content' );

    Imposta WP_CONTENT_URL sull'URI completo di questa directory (senzabarrafinale),ades. 

     define( 'WP_CONTENT_URL', 'http://example/new-wp-content');

    Facoltativo Imposta WP_PLUGIN_DIR sulpercorso locale completo di questa directory (nessunabarrafinale),adesempio 

     define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/new-wp-content/new-plugins' );

    Imposta WP_PLUGIN_URL sull'URI completo di questa directory (senzabarrafinale),ades. 

     define( 'WP_PLUGIN_URL', 'http://example/new-wp-content/new-plugins');

    <"PLUGINS

    Tienipresente che alcuniplugin come Akismat,Allin One SEO,W3-Total-Cache,Super Cachee molti altri aggiungono commenti all'output HTML. Lamaggiorparte sonofacili damodificareper rimuoverei commenti,ma lemodifiche verranno sovrascritte ogni volta chei plugin vengono aggiornati.

    <"wp-includes

    La directory wp-includes contienejquerye vari altrifilejs chei temi oi plugin chiameranno usando wp_enqueue_script (). Per cambiarlo dovrai annullare la registrazione degli script WordPresspredefinitie registrare lanuovaposizione. Aggiungi afunctions.php: 

     function my_init() {
    if (!is_admin()) {
        // comment out the next two lines to load the local copy of jQuery
        wp_deregister_script('jquery');
        wp_register_script('jquery', 'http://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js', false, '1.3.2');
        wp_enqueue_script('jquery');
    }
}
add_action('init', 'my_init');

    Questo dovràesserefatto con ogni script utilizzato daltuotema oplugin.

    • * Chris_O *: Ottima risposta!Probabilmente dovresti aggiungere anche che se usanoplugin otemi molti di questi sonofacilmenteidentificabili;cioè se qualcuno sta usandoilplugin akismet oil seo all-in-one,allora è ancora un regalo abbastanzamorto da qualcuno che sa cosa stanno cercando.
    • @MikeSchinkel Vero,ma allo stessotempo lo sono anche wp-includese wp-admin;con l'eccezione chenonpuoimodificarenessuno di questi,nénasconderli senza limitare lafunzionalità del sito.
    • * @ John P Bloch: * Sicuramente,tuttavianon avrei detto *ma *,avrei detto *e *.:)
    • * @ MikeSchinkel *:per wp-admine wp-includespuoifare alcune cosetramiteil controllo degli accessi apache,in modo da rendere queipercorsiinesistentiper altri utenti quindiper l'amministratore,ades.portando a uno standard 404.
    • * @ Chris_O: * Checkout `register_theme_directory ()`,penso siafantasticonascondere la directory deltema dalla directory "wp-content".
    • @Chris_O Sono specificiper WordPress?
    • @ Chris_O loproverò,manon lo capisco: "Nascondi WordPress chiamandoiltuofoglio di stile da un'altraposizione ..." Ero confuso su come chiamare. Sononuovo su wordpresse non so comefare. Potresti dirmiil codice dainserire.
    • Anche questo ... "define ('WP_CONTENT_URL','http://example/new-wp-content'); ..." Devo copiare (o spostare?) Tuttii filee le cartellein wp_contentnellanuova cartella? Grazie !
    • Quelle `define ()` dovrebbero avere `ABSPATH` ...
    • @hakre: Questa è davvero una soluzionemoltopiù semplice.Come sipuòfare almeglio?Puoi aggiungere unanuova risposta a questo?Grazie
    • belle lezioniin wordpress :)
    • translation icon
    • calendar icon 2010-09-13

    Unbit che spesso vieneperso:elimina readme.htmlnella root di WordPress.Non soloidentifica l'installazione come WPma ha anche una versioneprecisa.Enon dimenticare di ripeteregli aggiornamenti.

    Domanda correlata: Impedisci l'accesso oelimina automaticamente readme.html,license.txt,wp-config-sample.php

    • Buonpunto -inoltre,puoi usareiltuo .htaccesspernegare sempre l'accesso a readme.html,cosìnon devipreoccuparti di rimuoverlo dinuovo.
    • ... vedi anche http://wordpress.stackexchange.com/a/201805/13561
    • translation icon
    • calendar icon 2015-08-12

    L'unica risposta valida: IMPOSSIBILE

    Cosìtante risposte con voti alti ... è ora dimettere le cosein chiaro. Bene,la verità è che èpraticamenteimpossibilee anche se lo è,la vita èprobabilmentetroppobrevepermetterci uno sforzo. Qualsiasi risposta chepromuovamisurepernascondereil WP è solo unaperdita ditempoe tifuorvieràpensando che stainascondendoiltuo WP (è assurdo).

    1) Ilproblemanon sonogli ovvi URL wp-*,ilmeta delgeneratoreecc. Iproblemi difficili sono coni modelli associati a wordpress che un sistema sviluppatoin casanon sipreoccuperà diimplementare comepagine dell'autore,pagine dell'anno,delmese,delgiorno,usap=nnn comeparametro valido,hai unmoduloperi commenti con la classe dei commenti di wordpress,la strutturaei nomi dei link,e poi c'è l'autopromozione deiplugin di cachinge di yoast SEOe probabilmentemolti altriplugin che vedi solo quando controlli l'HTML stesso.

    2) Esistono altriinnumerevolimetodi chemostrano l'esistenza di WP (enonpuoibatterlo):

    • Anche l'intestazione della rispostaphp (comenotato da Dan Gayle sotto lamia risposta) restituisce l'intestazione WP specifica.

    • Chiunquepuòinterrogare uno qualsiasi dei decine difile .php radice: site.com/wp-cron.php o site.com/xmlrpc.php ( oecc.,chenonpuoinascondere)e la risposta dell'intestazione sarà 200invece di 404 not found.

    • chiunquepuò controllare se haendpointjsonper ottenere una risposta specificaper WP.

    • All'interno dellapagina HTML,moltifile .css o .js hannofrasi specifiche,che si riferiscono chiaramente a WP.

    • All'interno dellapagina HTML,èfaciletrovareglielementi/classi css,come <div class="entry-content post-14"... oecc (che è un suggerimento diretto che la struttura utilizzata è di WP)

    • All'interno dellapagina HTML,vedraifacilmente la cartella uploads,o anche se la rinomini con hardcoding,la dataparte come uploads/2018/05/image.jpg (o anche image-315x225.jpg)mostra latipica struttura WP.

    • poichémolti siti ora sono creati utilizzando MultiSite,utilizza adesempio /site/2nei collegamenti ...

    • ping a qualsiasifile readme diplug-in/temi (che contienetutti),come plugin-name/readme.txt,che restituisce lo stato 200.

    • e molte,molte,molte altre cose chetu (o anchei professionisti)non saraiin grado dinasconderee tifaranno soloperdere legiornate!

    <"conclusione

    E anche seti sforzi di ripuliretutto ciò cheindica che questo è un wordpress,potresti dover ripetere o almeno ricontrollare dopo ogniplugin o aggiornamento del core. La vita ètroppobreveper questo.

    Potrestifuorviare alcuni diletanti,manonpuoinasconderti da unbuonispettore. Se questo vienefatto comemisura di sicurezza,allora è la sicurezzaper oscurità che è sempre sbagliata,e seti vergogni solo di usare wordpress,allora lascia cheti dica una cosa: anessunoimporta,e anchei pochissimi che lofannoprobabilmentenon lofaranno sanno come capirlo da soli.

    L'unica cosa di cui dovrestipreoccuparti èproteggere WPilpiùpossibilee monitorarei suoi aggiornamenti regolari.

    • l'unica risposta corretta,volevopostarla.Ho svalutatotutte le altre risposte,poiché sono solotentativifuorviantie chefannoperderetempoper raggiungere l'obiettivoimpossibilee senza senso.Semi permetti,aggiungerò 2 centesiminellatua risposta.
    • certo andare avanti.
    • Ho anche votato afavore.Perderetempo anascondere wp soloper sicurezza dall'oscurità.Non solononfunzionerà,mapotrebbe ancheinterrompere lafunzionalità sbagliata.
    • translation icon
    • calendar icon 2010-09-12

    Puoi avere WordPress su un servere estrarrei tuoi contenuti da un altroincludendo soloil contenuto di cui haibisogno.

    Se haibisogno di RSS,dovrestifare lo stesso con quello.

    Effettivamente sarebbe come servirepagine statiche da unproxy o CDN,ma soloi bit che vuoi servire. È quindipossibile utilizzare anche un sistema di commentibasato sujavascript come Disqus.

    Uso di risorse davverobasso,perché quinon ci sono database sul server che serveil contenuto.

    • * @ AndyBeard * - È un'ideamoltointeressante,ma richiederebbemoltotempo di sviluppoper ottenere qualcosa difunzionante.O conosci unprogetto open sourcein cui qualcuno lo hagiàfatto?
    • Ecco una soluzione http://wordpress.org/extend/plugins/really-static/- cene sono alcune altre
    • translation icon
    • calendar icon 2010-09-08

    Puoi creareiltuoindirizzopersonalizzatoper accedere altuoblog.Non utilizzandoil classicopercorso "myblog.com/wp-admin"per accedere alla dashboard Questapagina ti aiuterà a creare accessiinvisibili,questo è utile ancheper lemisure di sicurezza.

    Quindiilppl che aggiunge wp-admin altuoblog,non saràin grado diindovinare :)

    • Il collegamento è obsoletoe ilplug-in è stato rimosso.
    • @kaiser: la [Internet Archive Wayback Machine] (http://web.archive.org/web/20110722022729/http://wordpress.org/extend/plugins/stealth-login/) ce l'ha (e,sorprendentemente,anchelo zip);)
    • @brasofilo [Soloper renderlopiù coperto -ecco unpastebin "senza scadenza".] (http://pastebin.com/fLzwzkGe) :)
    • @kaiserbrasofilo -grazie ragazzoper aver seguito la risposta :) lotengo ancheio
    • translation icon
    • calendar icon 2011-06-19

    Oltre a quanto sopra,ènecessariobloccare l'accesso ai varifilee directory wp*.Se qualcuno voleva vedere se stavieseguendo WP,potrebbeindovinare se avevi wp-settings.php o sepoteva accedere a qualche directory.Restituire un 403non è sufficienteperché dice all'utente che la risorsaesiste;semplicementenon hanno accesso adesso.

    Non sono unesperto di apache,quindi ho chiesto questodomanda su serverfault.

    • translation icon
    • calendar icon 2014-01-01

    Non dimenticare chemolte delleinformazioni diintestazione httpinviateinsieme allatua richiestapossonoidentificareiltuo sito comein esecuzione su WordPress. Adesempio,se controlli leintestazioni sui seguenti siti,è ovvio: 

     $ curl -I http://www.rollingstones.com/
Server: WP Engine/5.0

$ curl -I http://www.mattcutts.com
X-Powered-By: W3 Total Cache/0.9.1.3

$ curl -I http://blogs.reuters.com/us/
WP-Super-Cache: Served supercache file from PHP

    Alcuni di questi sonoimpostati dal server,altri sonoimpostati daplugin,quindinon c'è unmodoperme di dire come rimuoverli al 100%,ma se stai usando PHP 5.3puoi usarlo

    header_remove("X-Foo"); ( http://www.php.net/manual/en/function.header-remove.php )

    per rimuovere un'intestazione PHPnotaprima chei tuoi contenuti venganoeliminati. Nonposso dire con certezza doveposizionarlo (forse qualcun altropuòintervenire con quelleinformazioni),maprobabilmente è sicurometterloin cima altuoindex.php PRIMA di qualsiasi contenutoinviato albrowser.

    • translation icon
    • calendar icon 2016-03-25

    Questopuòessere difficile da ottenere se seinuovoin phpe mod_rewrite. Suggerisco quindi di controllare con la sezione dellamia risposta. Oppureprovalotu stesso,puoi usare qualcosa di similepernascondere la struttura delpercorso wp-content/plugins: 

     <IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^modules/(.*) /wp-content/plugins/$1 [L,QSA]
</IfModule>

    Questo cambieràilpercorsoin/modules. Usa qualcosa di simileper un'altra struttura,potresti averbisogno di alcune riscritture avanzate,vedi http://httpd.apache.org/docs/current/mod/mod_rewrite.html per ulterioriinformazioni sumod_rewrite.

    Sepreferisci qualcosafuori dagli schemi,ci sono alcunibei plugin,alcuni commerciali,anchegratuitinel repository di WordPress,suggerisco diprovare WP Hide & amp; Security Enhancer . Ciòincludemolte cosee aiuta a cambiarepraticamentetuttoper rendereirriconoscibileiltuo WordPress. Ecco alcune caratteristiche del codice:

    • URL amministratorepersonalizzato
    • URL amministratorepersonalizzato
    • Blocca URL amministratorepredefinito
    • Blocca qualsiasi accesso diretto alla cartellapernascondere completamente la struttura
    • Nomefile wp-login.phppersonalizzato
    • Bloccapredefinito wp-login.php
    • Bloccailfile wp-signup.phppredefinito
    • Blocca API XML-RPC
    • Nuovopercorso XML-RPC
    • URL deltema regolabile
    • Nuovo URL deltemafiglio
    • Cambiailnome delfile dello stile deltema
    • Wp-includepersonalizzato
    • Bloccai percorsi wp-includepredefiniti
    • Blocca defalt wp-content
    • URLplug-inpersonalizzati
    • Modifica dell'URL del singoloplug-in
    • Bloccai percorsi deiplug-inpredefiniti
    • Nuovo URL di caricamento
    • Bloccagli URL di caricamentopredefiniti
    • Rimuovi la versione wordpress
    • Blocco Meta Generator
    • Disattiva l'emojie il codice JavaScript richiesto
    • Rimuovitagpingback
    • Rimuovi wlwmanifest Meta
    • Rimuovi rsd_link Meta
    • Rimuovi wpemoji

    e molti altri ..

    • translation icon
    • calendar icon 2015-03-25

    Non voglio ripetere le opzioni di codificapoiché sono statetrattatein modoesaustivo,l'altra opzione che so chefunziona è usare unplugin chenasconde wp.Hogià utilizzato questoplugin secondo standard soddisfacenti.Si chiamanascondiilmio WordPress.

    • translation icon
    • calendar icon 2016-08-22

    Lamaggiorparte delle risposte si concentra sull'oscuramento di WordPressnel codice sorgente di unapagina,ma ancheprima WP si ègià rivelatonell'intestazione http di un'installazione standard. Provailtuo sito su un sito come web-sniffer (faifinta diessere IE 6e chiedi un http 1.0 header)e vedrai chetrai ritorni c'è: 

     <http://www.example.com/wp-json/>; rel="https://api.w.org/"

    Quest'ultimo è un collegamento all ' Wordpress.org API . Èpresente da quando l'API REST è statainclusain WP 4.4. Puoi rimuoverlo con questa riga all'inizio deltuo functions.php: 

     remove_action( 'template_redirect', 'rest_output_link_header', 11, 0 );

    Moltiplugin,come Jetpackperi suoi collegamentibrevi,possono ancheinserire collegamentinell'intestazione http. Possonofarlo,perché WP ha un ' API HTTP ,cheti consente dimanipolare leintestazioni. Èpossibile utilizzare questainterfacciaper rimuoveretutte leimpostazioni diintestazione daiplug-in se si aggiunge l'azione con sufficiente ritardonelprocesso.

    Infine,puoi utilizzare l ' .htaccess headerinterface perintercettatutto ciò che WP stafacendo. Adesempio,puoiimpedire l'invio diintestazioni di collegamentoincludendo questa riga: 

     <IfModule mod_headers.c>
Header unset Link
</IfModule>
    • translation icon
    • calendar icon 2010-09-08

    Puoipersonalizzare untemaperescluderetutte leinformazioni di WordPress.Rimuovi ancheilmeta widgete qualsiasi widget cheforniscainformazioni sullapiattaforma.

    Personalmente,preferiscomostrare lamiagratitudine dimostrando che sto usando WordPress.

    • Lagratitudine èbella,manon risponde alla domandafondamentale.
    • translation icon
    • calendar icon 2017-07-10

    Puoi utilizzareilplug-in WPS Nascondi accesso .
    Accedi altuo wordpress utilizzando wp-admin.Mapuoi cambiare wp-adminin personalizzato usando questoplugin.

    Esempio:

    Prima: http://example.com/wp-admin
    Dopo: http://example.com/custom-text-to-login