На предыдущем уроке вы узнали, как защитить свою страницу входа от атак грубой силы, пришло время узнать, как скрыть свой сайт от детекторов тем WordPress и хакерских ботов.
Примечание! Прочтите, пожалуйста, “Скрыть WordPress от детекторов тем или от ботов-хакеров?”
Изменение общих путей WordPress не гарантирует, что WordPress CMS полностью скрыта. Старые пути по-прежнему доступны, и хакеры по-прежнему могут внедрять SQL и Javascript в уязвимые установленные плагины и темы.
Выполните следующие шаги и узнайте, что вам нужно сделать, чтобы полностью защитить свой веб-сайт.
Примечание! Не используйте демо статью WordPress, слоган, текст нижнего колонтитула и т.д. Убедитесь, что у вас есть собственные сообщения, страницы, категории, теги. Не загружайте демонстрационные данные темы на свой сайт. Это будет легко обнаружено детекторами тем.
Шаг 1. Скройте общие пути WordPress
Если вы изменили пути wp-login, wp-content, wp-includes, plugins и themes с помощью 2H Protection, теперь вы должны скрыть старые пути от хакеров, чтобы защитить уязвимые плагины и темы.
Чтобы скрыть общие пути WordPress, вам нужно включить опцию 2HP > Изменить пути > Безопасность WP ядра> Скрыть общие файлы WordPress и сохранить настройки.
После активации этой опции вы можете получить доступ к URL-адресу /wp-content из другого браузера или в режиме инкогнито, и вы должны получить ошибку 404 (Страница не найдена).
Теперь пришло время скрыть общие файлы WordPress от хакеров, которые могут легко обнаружить WordPress CMS, если у них есть доступ к общим файлам WordPress: /wp-config.php, /readme.html и т.д. Все эти файлы должны быть доступны только в том случае, если вы вошли на свой сайт.
2H Protection добавит фильтр для защиты всех этих файлов, если вы включите опцию 2HP > Изменить пути > Безопасность WP ядра> Скрыть общие файлы WordPress.
Скрытые URL:
https://demo.wpplugins.tips/wp-content/
https://demo.wpplugins.tips/wp-content/plugins/
https://demo.wpplugins.tips/readme.html
Шаг 2. Активируйте Твики.
Теперь активируйте основные параметры в 2HP > Твики, чтобы скрыть версию CMS, заголовок и рефералов.
Включите такие параметры, как:
- Изменить пути для зарегистрированных пользователей
- Изменить пути в кэшированных файлах
- Скрыть версию из изображений, CSS и JS в WordPress
- Скрыть META-теги генератора WordPress
- Скрыть META-теги предварительной выборки DNS WordPress
- Скрыть HTML-комментарии
- Скрыть иконки Emoji
- Отключить встроенные скрипты
- Скрыть сценарии манифеста WLW
Шаг 3. Используйте сопоставление текста
Вы можете использовать Сопоставление текста, чтобы скрыть классы, такие как wp-, с вашего веб-сайта, которые могут быть обнаружены детекторами тем. Даже если это хороший вариант – добавить все классы плагинов в Сопоставление текста, это не всегда хорошая идея, потому что это может повлиять на функциональность веб-сайта.
Примечание! Некоторые детекторы тем ищут классы, которые используются плагинами WordPress, и сразу сообщают, что вы используете CMS WordPress, даже если у вас нет общего пути для WordPress.
Важно решить, насколько далеко вы хотите зайти, чтобы скрыть все известные плагины. Чтобы скрыть классы или идентификаторы плагина, вам также необходимо динамически изменять классы и идентификаторы во всех файлах JS и CSS, чтобы предотвратить ошибки javascript и стиля.
Добавьте эти записи в 2HP > Сопоставление > Сопоставление текста и скройте общие классы WordPress:
- wp-caption => caption
- wp-custom => custom
- wp-block => block
- wp-image => image
- wp-smiley => smiley
- wp-embed => embed
- wp-i18n => i18n
- wp-hooks => hooks
- wp-util => util
- wp-polyfill => polyfill
- wp-escape => escape
- wp-element => element
- wp-post => post
- wp-switch-editor => switch-editor
Шаг 4. Используйте сопоставление URL-адресов или плагин кеширования.
Некоторые плагины используют имена файлов с такими же именами, как у плагина. Чтобы скрыть эти файлы, вы можете использовать 2HP > Сопоставление > Сопоставление URL или плагин кеширования.
Параметр сопоставления URL-адресов позволит вам изменить любой URL-адрес вашего веб-сайта на более удобный и скрыть имя плагина.
Теперь, если у вас уже установлен плагин кеширования, проверьте, есть ли у него возможность минимизировать/объединить файлы CSS и JS, которые могут быть обнаружены.
Мы рекомендуем плагины кеширования WP Rocket и Autoptimize для кеширования, которые отлично работают с 2H Protection.
https://2hp.farhus.website/how-to-use-autoptimize-with-hide-my-wp-ghost/
https://2hp.farhus.website/how-to-use-wp-rocket-with-hide-my-wp-ghost/
Шаг 5. Запустите проверку безопасности
Пришло время проверить безопасность веб-сайта и убедиться, что на нем нет URL-адресов, содержащих /wp-content/.
Перейдите в 2HP > Проверка безопасности и запустите отчет. Если отчет не находит старые пути WordPress в исходном коде, значит, конфигурация верна.
Вы также можете проверить исходный код своего веб-сайта в другом браузере или в режиме инкогнито.
Большинство браузеров позволяют увидеть исходный код веб-сайта, если вы введете «view-source:» перед своим доменом, например:
view-source: https: //demo.wpplugins.tips/. Теперь найдите wp-, используя опцию поиска (Ctrl + F).
Если вы обнаружите URL-адреса, содержащие «/wp-content/», убедитесь, что они не были созданы плагином кеширования, таким как Autoptimizer или Wp-Rocket. Если это так, активируйте опцию Combine JS and Combine CSS в вашем плагине кеширования, чтобы добавить все JS и CSS в один файл.
Если вы не используете подключаемый плагин кеширования и хотите изменить некоторые URL-адреса в исходном коде, используйте опцию 2HP > Сопоставление > Сопоставление URL и следуйте инструкциям на следующем шаге.
Шаг 6. Скрыть путь в файлах Sitemap XML и Robots.txt
Некоторые детекторы тем просматривают URL-адрес /sitemap.xml, чтобы проверить, есть ли ссылка на автора плагина.
В URL-адресе /robots.txt вы также можете найти ограничения для путей wp-admin и wp-includes, и детекторы тем будут знать, что вы используете из-за этого WordPress CMS.
2H Protection удаляет любой стиль из sitemap.xml и все общие пути WordPress из robots.txt.
SEO и индексируемость веб-сайтов
Эти параметры не повлияют на SEO на вашем сайте. Все ссылки появятся в карте сайта, а все необходимые правила будут присутствовать в robots.txt. Google, как и раньше, проиндексирует все содержимое вашего веб-сайта.
Шаг 7. Используйте инструменты детекторов тем
Если вы выполнили все шаги последних трех уроков, ваш веб-сайт должен быть защищен от хакерских ботов и скрыт от всех детекторов тем WordPress:
- https://www.wpthemedetector.com/
- https://whatwpthemeisthat.com/
- https://whatcms.org/
- https://mycodelesswebsite.com/
Мы проверили со многими другими детекторами, но некоторые из них сохраняют долговременный кеш, и результаты не актуальны.
Не используйте детекторы Buitwith и Isitwp!
Детекторы кэшируют информацию CMS в течение длительного времени после обнаружения CMS. Мы протестировали пустой веб-сайт и получили ту же информацию даже через несколько месяцев. Используйте детекторы в реальном времени, чтобы проверить, правильно ли настроен плагин.Не используйте расширения для браузера!
Если вы установите расширение Chrome с детектором тем WordPress, расширение обнаружит WP CMS, когда вы вошли в систему как администратор, и может сохранить кеш с этой информацией. Некоторые детекторы, такие как Builtwith и Wappalyzer, сохраняют долгосрочный кеш после обнаружения WordPress CMS.
Заключение
2H Protection – это сложный инструмент безопасности, который покрывает все потребности безопасности для защиты уязвимых плагинов и тем от скриптов и SQL-инъекций. Его можно использовать вместе с другими плагинами безопасности, такими как Wordfence, Sucuri, iThemes Security и т.д.
Примечание! Плагин совместим с другими плагинами безопасности, и вам не нужно отключать все остальные плагины безопасности, если вы устанавливаете 2H Protection.
Чтобы узнать, что 2H Protection не может делать на вашем веб-сайте, чтобы избежать ошибок, прочтите:
https://hidemywpghost.com/what-hide-my-wp-ghost-cant-do/
В следующем уроке вы узнаете, как использовать функцию журнала событий и как настроить оповещения по электронной почте в вашей учетной записи 2H Protection.