Ich habe eine Website, für die wir versuchen, diskret darüber zu sein, dass wir WordPress verwenden. Welche Schritte können wir unternehmen, um es weniger offensichtlich zu machen?

EDIT- Wichtiger Sicherheitshinweis:

Bitte haben Sie Verständnis dafür, dass dies gemäß Marks Antwort nicht möglich ist. Verlassen Sie sich daher nicht auf diese Sicherheitsmaßnahme.

Die größten WordPress-Werbegeschenke befinden sich zwischen den <head> </head>Tags.

Beispiel für eine Ausgabe von WordPress-Kopfinhalten von The Twentyten Theme und Entfernen von:

<link rel="profile" href="http://gmpg.org/xfn/11" /> 

Direkt aus der header.php entfernen

 <link rel="stylesheet" type="text/css" media="all" href="http://example.com/wp-content/themes/twentyten/style.css" /> 

Verstecken Sie WordPress, indem Sie Ihr Stylesheet von einem anderen Ort aus aufrufen und das Verzeichnis wp-content ändern. WordPress setzt voraus, dass Ihr Design einige grundlegende Informationen oben in style.css enthält (style.css muss sich im Stammverzeichnis des Designs befinden). Sie müssen ein alternatives CSS erstellen und es von Ihrem Kopf aus aufrufen. Für WordPress ist es nicht erforderlich, dass Sie die Themen style.css verwenden. Es muss sich nur im Themenverzeichnis befinden.

Direkt aus der header.php entfernen

<link rel="alternate" type="application/rss+xml" title="Example Blog &raquo; Feed" href="http://example.com/feed/" /> 
<link rel="alternate" type="application/rss+xml" title="Example Blog &raquo; Comments Feed" href="http://example.com/comments/feed/" />    
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="http://example.com/xmlrpc.php?rsd" /> 
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="http://example.com/wp-includes/wlwmanifest.xml" /> 
<link rel='index' title='Example Blog' href='http://example.com/' /> 
<meta name="generator" content="WordPress 3.1-alpha" /> 

Um diese zusätzlichen Links zu entfernen, können Sie der Datei functions.php einen Filter hinzufügen

// remove junk from head
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'index_rel_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'feed_links_extra', 3);
remove_action('wp_head', 'start_post_rel_link', 10, 0);
remove_action('wp_head', 'parent_post_rel_link', 10, 0);
remove_action('wp_head', 'adjacent_posts_rel_link', 10, 0);

Sie können Ihr Plugin-Verzeichnis und Ihr WP-Inhaltsverzeichnis in Ihrer Datei wp-config.php ändern, es können jedoch Probleme auftreten, wenn Ihr Theme oder Plugins nicht die richtige Methode zum Aufrufen von Dateien verwenden.

define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/new-wp-content' );

Setzen Sie WP_CONTENT_URL auf den vollständigen URI dieses Verzeichnisses (kein abschließender Schrägstrich), z

define( 'WP_CONTENT_URL', 'http://example/new-wp-content');

Optional Setzen Sie WP_PLUGIN_DIR auf den vollständigen lokalen Pfad dieses Verzeichnisses (kein abschließender Schrägstrich), z

define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/new-wp-content/new-plugins' );

Setzen Sie WP_PLUGIN_URL auf den vollständigen URI dieses Verzeichnisses (kein abschließender Schrägstrich), z

define( 'WP_PLUGIN_URL', 'http://example/new-wp-content/new-plugins');

PLUGINS

Beachten Sie, dass einige Plugins wie Akismat, All-in-One-SEO, W3-Total-Cache, Super-Cache und viele andere der HTML-Ausgabe Kommentare hinzufügen. Die meisten sind leicht zu ändern, um die Kommentare zu entfernen, aber Ihre Änderungen werden jedes Mal überschrieben, wenn die Plugins aktualisiert werden.

wp-includes

Das Verzeichnis wp-includes enthält jquery und verschiedene andere js-Dateien, die Themes oder Plugins mit wp_enqueue_script () aufrufen. Um dies zu ändern, müssen Sie die Standard-WordPress-Skripte abmelden und den neuen Speicherort registrieren. Füge zu functions.php hinzu:

function my_init() {
    if (!is_admin()) {
        // comment out the next two lines to load the local copy of jQuery
        wp_deregister_script('jquery');
        wp_register_script('jquery', 'http://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js', false, '1.3.2');
        wp_enqueue_script('jquery');
    }
}
add_action('init', 'my_init');

Dies muss mit jedem Skript durchgeführt werden, das von Ihrem Design oder Ihren Plugins verwendet wird.

Ein Bit, das oft übersehen wird - readme.htmlim WordPress-Stammverzeichnis löschen . Die Installation wird nicht nur als WP identifiziert, sondern es wird auch eine genaue Version angegeben. Und vergessen Sie nicht, bei Updates zu wiederholen.

Zugehörige Fragen: Verhindern Sie den Zugriff oder löschen Sie die Datei readme.html, license.txt, wp-config-sample.php automatisch

Ich habe immer die Roots-Theme-Methode verwendet .
Aber wenn man es auf die ThemeJungle anwendet , hat man normalerweise große Kopfschmerzen.

Also begann ich mit den WP_CONTENT_*Konstanten zu spielen . Was meiner Meinung nach eine viel weniger fehleranfällige Methode ist und woran ich gerade arbeite:

^{/mist der uploadsOrdner, /tder themesOrdner und /t/tder aktive Themenordner. Die Seite ist nicht komplex, daher werden nur wenige Assets geladen ...}

WP_CONTENTLESS

wp-config.php

Einstellung wp-contentauf das Stammverzeichnis ( /public_html/) der Site.

/** 
 Inside WP_CONTENT, the following folders should exist: 
 /languages , /mu-plugins , /plugins , /themes , /upgrade , /uploads  

 The WP_CONTENT_* definitions bellow REMOVE the existence of the /wp-content folder 
 and makes its contents reside in the ROOT of your site

 UTTERMOST attention is necessary when doing file maintenance activities in the server (i.e.: WP upgrades, new Webmaster...), 
 as the Themes and Plugins folders are meant to be renamed to /t and /p (serious candidates for unthoughful removal)

 PLEASE note:
 - we change the Plugins folder in WP_PLUGIN_* definitions
 - the Themes folder is changed by a MustUse Plugin 
   (/mu-plugins/set-extra-themes-folder.php)
 - the Uploads folder is changed in WordPress settings page 
   (http://example.com/wp-admin/options-media.php)
 - the hardcode path to be used in WP_CONTENT_DIR and WP_PLUGIN_DIR can be checked using an action inside the set-extra-themes-folder Plugin (check the comments in this file)
*/
define( 'WP_CONTENT_DIR', '/www/htdocs/username/public_html' );
define( 'WP_CONTENT_URL', 'http://www.example.com' );

define( 'WP_PLUGIN_DIR', '/www/htdocs/username/public_html/p' );
define( 'WP_PLUGIN_URL', 'http://www.example.com/p' );

Ich habe in [wp-hackers] danach gefragt - Gibt es Nachteile beim Setzen von WP_CONTENT_DIR (und URL) auf DOCUMENT_ROOT? , wo John Blackbourn ¹ , Mike Little ² und Otto ³ freundlicherweise folgende Ratschläge gaben:

^{1
Ich habe diese Struktur in den letzten 18 Monaten auf einer Website aktiviert und keine Probleme festgestellt. Wie bei jeder Änderung des Speicherorts des Inhaltsverzeichnisses müssen Sie alle Plug-ins, die Sie der Site hinzufügen, überprüfen, ohne davon auszugehen, dass sich das Inhaltsverzeichnis in befindetwp-content.}

^{2
Es gibt Diskussionen im Internet, die$_SERVER['DOCUMENT_ROOT']möglicherweise anfällig für Hacking sind. In diesem Fall ist dies äußerst gefährlich, da es viele Orte gibt, dierequire()oderinclude() WP_CONTENT_DIR. 'etwas';}

^{3
Es gibt Fälle, in denen der Inhalt$_SERVERabsolut sicher ist. Aus Sicherheitsgründen ist es jedoch besser, ihn immer als nicht vertrauenswürdige Daten zu behandeln. Codieren Sie in diesem speziellen Fall das Verzeichnis fest.}

Ein neuer Themenordner

/mu-plugins/set-extra-themes-folder.php

Da es keine gibt WP_THEMES_*Konstanten, müssen wir die Funktion register_theme_directory () auf „ ein Verzeichnis zu registrieren , die Themen enthält. “
Versucht das zusätzliche Verzeichnis an der Wurzel zu setzen , aber die Ergebnisse sind lustig (dh: es funktioniert nicht).

<?php
/*
    Plugin Name: Set Extra Themes Folder
    Version: 1.0
    Description: Allows the directory - http://example.com/t - to be used as an extra theme's directory
    Plugin URI: http://wordpress.stackexchange.com/questions/1507
    Author: brasofilo
    Author URI: http://rodbuaiz.com
*/


/**
 * Remove the comment from the following line to know the correct path to put in register_theme_diretory()
*/
//add_action( 'admin_head', 'brsfl_alert_directory_path' );

function brsfl_alert_directory_path()
{
    echo '<script type="text/javascript">
        alert("Directory: '.$_SERVER['DOCUMENT_ROOT'].'");
    </script>';
}


/**
 * The following will enable the directory "t" to be used as an EXTRA Themes directory
*/
register_theme_directory( '/www/htdocs/username/public_html/t' );


/**
 * De-registering default scripts in wp-includes for CDN ones
*/
add_action('init', 'brsfl_init_scripts');

function brsfl_init_scripts() 
{
    if ( !is_admin() ) 
    {
        wp_deregister_script( 'jquery' );
        wp_deregister_script( 'swfobject' );
        wp_register_script( 'jquery', 'http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js', false, '1.7.1' );
        wp_register_script( 'swfobject', 'https://ajax.googleapis.com/ajax/libs/swfobject/2.2/swfobject.js', false, null, true );
        wp_enqueue_script( 'jquery' );
        wp_enqueue_script( 'swfobject' );
    }
}

Uploads-Ordner

/wp-admin/options-media.php

Stattdessen http://example.com/uploadswird es sein http://example.com/m.
Durch Entfernen des Häkchens Organize my uploads into...wird eine geben WPless Aussehen auf das Vermögen URLs.
Wenn die Site live ist, muss ein Suchen / Ersetzen in der Datenbank durchgeführt werden und Dateien müssen verschoben werden.

Plugins und Head Content

Siehe Cris_OAntwort in dieser Frage und Antwort.

Readme.html

Siehe RarstAntwort in dieser Frage und Antwort.

Andere Schritte

Wie üblich können ThemeJungle-Themes bestimmte Hacks im Theme auslösen.
Wie ... TimThumb funktioniert nicht (!!! lol !!!).

Die einzig gültige Antwort: UNMÖGLICH

So viele Antworten mit hoher Stimmenzahl ... es ist Zeit, den Rekord zu korrigieren. Nun, die Wahrheit ist, dass es so gut wie unmöglich ist und selbst wenn es so ist, ist das Leben wahrscheinlich zu kurz, um sich Mühe zu geben. Jede Antwort, die Schritte zum Verbergen von WP fördert, ist nur eine Verschwendung Ihrer Zeit und führt Sie in die Irre, wenn Sie denken, dass Sie Ihr WP verstecken (das ist absurd).

1) Das Problem sind nicht die offensichtlichen wp-*URLs, das Generator-Meta usw. Die schwerwiegenden Probleme bestehen in Mustern, die mit WordPress in Verbindung gebracht werden und die ein selbst entwickeltes System nicht wie Autorenseiten, Jahr-, Monats-, Tagesseiten oder die Verwendung von p = zu implementieren braucht Haben Sie als gültigen Parameter ein Kommentarformular mit der WordPress-Kommentarklasse, der Struktur und den Linknamen, und dann gibt es die Eigenwerbung für die Caching-Plugins und Yoast-SEO und wahrscheinlich viele andere Plugins, die Sie nur sehen, wenn Sie den HTML-Code selbst überprüfen.

2) Es gibt andere unzählige Methoden, die die Existenz von WP belegen (und das können Sie nicht übertreffen):

• Sogar der PHP-Antwort-Header (wie von Dan Gayle unter meiner Antwort angegeben) gibt den spezifischen WP-Header zurück.

• Jeder kann einfach eine der zehn Root-.php-Dateien abfragen: site.com/wp-cron.phpoder site.com/xmlrpc.php(oder usw., die Sie nicht verbergen können) und die Header-Antwort lautet 200statt 404 not found.

• Jeder kann überprüfen, ob es json-Endpunkte gibt, um eine WP-spezifische Antwort zu erhalten.

• Innerhalb der HTML-Seite haben viele von .cssoder .jsDateien bestimmte Ausdrücke, die eindeutig auf WP verweisen.

• Innerhalb der HTML-Seite ist es einfach, die Elemente / CSS-Klassen wie <div class="entry-content post-14"...oder usw. zu finden (dies ist ein direkter Hinweis darauf, dass die verwendete Struktur von WP stammt).

• In der HTML-Seite sehen Sie leicht den uploadsOrdner, oder selbst wenn Sie ihn mit Hardcoding umbenennen, zeigt der Datumsteil wie uploads/2018/05/image.jpg(oder sogar image-315x225.jpg) die typische WP-Struktur.

• Da viele Sites jetzt mit MultiSite erstellt werden, werden sie zB /site/2in Links verwendet ...

• ping auf Plugins / Themes Readme (alle enthalten), wie plugin-name/readme.txtRückkehr Status 200.

• und viele, viele, viele andere Dinge, die Sie (oder sogar Profis) nicht verbergen können und die nur Ihre Tage verschwenden werden!

Fazit

Und selbst wenn Sie sich die Mühe geben, alles aufzuräumen, was darauf hindeutet, dass dies ein WordPress ist, müssen Sie möglicherweise nach jedem Plugin oder Core-Upgrade die Einstellungen wiederholen oder zumindest erneut überprüfen. Das Leben ist einfach zu kurz dafür.

Sie könnten einige Diletanten in die Irre führen, aber Sie können sich nicht vor einem guten Inspektor verstecken. Wenn dies als Sicherheitsmaßnahme erfolgt, dann ist es Sicherheit durch Unbekanntheit, die immer falsch ist, und wenn Sie sich nur für die Verwendung von WordPress schämen, dann lassen Sie mich Ihnen etwas sagen - niemand kümmert sich darum, und selbst die wenigen, die dies tun, werden es wahrscheinlich nicht wissen, wie man es selbst herausfindet.

Das einzige, was Sie beachten sollten, ist, dass Sie WP so gut wie möglich schützen und seine regelmäßigen Updates überwachen.

Sie können WordPress auf einem Server haben und Ihre Inhalte von einem anderen kratzen, nur einschließlich der Inhalte, die Sie benötigen.

Wenn Sie RSS benötigen, müssen Sie dasselbe tun.

Im Grunde wäre es so, als würde man statische Seiten von einem Proxy oder CDN aus bereitstellen, aber nur die Bits, die Sie bereitstellen möchten. Sie könnten dann auch einfach ein JavaScript-basiertes Kommentarsystem wie Disqus verwenden.

Sehr geringer Ressourcenverbrauch, da auf dem Server, auf dem der Inhalt bereitgestellt wird, keine Datenbanken vorhanden sind.

Sie können Ihre benutzerdefinierte Adresse erstellen, um sich in Ihrem Blog anzumelden. Indem Sie nicht den klassischen Pfad „myblog.com/wp-admin“ verwenden, um zu Ihrem Dashboard zu gelangen. Diese Seite hilft Ihnen beim Erstellen von Stealth-Anmeldungen. Dies ist auch gut für Sicherheitsmaßnahmen.

Die Leute, die wp-admin an Ihren Blog anhängen, können also nicht raten :)

Darüber hinaus müssen Sie den Zugriff auf die verschiedenen wp*Dateien und Verzeichnisse sperren . Wenn jemand sehen wollte, ob Sie WP ausführen, konnte er erraten, ob Sie dies getan haben wp-settings.phpoder ob er auf ein Verzeichnis zugreifen konnte. Die Rückgabe einer 403 ist nicht ausreichend, da sie dem Benutzer mitteilt, dass die Ressource vorhanden ist. Sie haben einfach keinen Zugang dazu.

Da ich kein Apache-Experte bin, habe ich diese Frage bei Serverfehler gestellt.

Vergessen Sie nicht, dass viele der HTTP-Header-Informationen, die zusammen mit Ihrer Anfrage gesendet werden, Ihre Site als in WordPress ausgeführt identifizieren können. Wenn Sie beispielsweise die Überschriften auf den folgenden Sites überprüfen, ist dies offensichtlich:

$ curl -I http://www.rollingstones.com/
Server: WP Engine/5.0

$ curl -I http://www.mattcutts.com
X-Powered-By: W3 Total Cache/0.9.1.3

$ curl -I http://blogs.reuters.com/us/
WP-Super-Cache: Served supercache file from PHP

Einige davon werden vom Server festgelegt, andere von Plugins. Daher kann ich nicht sagen, wie 100% der Dateien entfernt werden sollen. Wenn Sie jedoch PHP 5.3 verwenden, können Sie dies verwenden

header_remove("X-Foo");( http://www.php.net/manual/en/function.header-remove.php )

um einen bekannten PHP-Header zu entfernen, bevor Ihr Inhalt herausgeschickt wird. Ich kann nicht mit Sicherheit sagen, wo dies platziert werden soll (vielleicht kann jemand anderes diese Informationen hinzufügen), aber es ist wahrscheinlich sicher, sie ganz oben in Ihrer index.php zu platzieren, BEVOR Inhalte an den Browser gesendet werden.

Dies kann schwer zu erreichen sein, wenn Sie neu in PHP und Mod_rewrite sind. Ich schlage vor, Sie überprüfen mit dem Abschnitt meiner Antwort. Oder probieren Sie es selbst. Sie können so etwas verwenden, um die Pfadstruktur von wp-content / plugins auszublenden:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^modules/(.*) /wp-content/plugins/$1 [L,QSA]
</IfModule>

Dies ändert den Pfad zu / modules. Verwenden Sie etwas Ähnliches für andere Strukturen. Möglicherweise benötigen Sie einige erweiterte Umschreibungen. Weitere Informationen zu mod_rewrite finden Sie unter http://httpd.apache.org/docs/current/mod/mod_rewrite.html .

Wenn Sie etwas aus dem Kasten heraus bevorzugen, gibt es einige nette Steckverbindungen, etwas Werbung, auch frei am WordPress-Repository, ich schlage vor, WP Hide & Security Enhancer zu versuchen . Dies beinhaltet eine Menge Dinge und hilft dabei, so ziemlich alles zu ändern, damit Ihr WordPress nicht wiedererkennbar wird. Hier sind einige Funktionen des Codes:

• Benutzerdefinierte Admin-URL
• Benutzerdefinierte Admin-URL
• Blockieren Sie die Standard-Admin-URL
• Blockieren Sie den direkten Ordnerzugriff, um die Struktur vollständig auszublenden
• Benutzerdefinierter wp-login.php Dateiname
• Blockiere die Standard wp-login.php
• Blockiere die Standard wp-signup.php
• XML-RPC-API blockieren
• Neuer XML-RPC-Pfad
• Einstellbare Themen-URL
• Neue untergeordnete Themen-URL
• Ändern Sie den Namen der Theme-Style-Datei
• Benutzerdefiniertes WP-Include
• Blockieren Sie standardmäßige WP-Include-Pfade
• Blockiere defalt wp-content
• Benutzerdefinierte Plugins-URLs
• Individuelle Plugin-URL-Änderung
• Standard-Plugin-Pfade blockieren
• Neue Upload-URL
• Standard-Upload-URLs blockieren
• Entfernen Sie die WordPress-Version
• Meta Generator Block
• Deaktivieren Sie das Emoji und den erforderlichen Javascript-Code
• Entfernen Sie das Pingback-Tag
• Wlwmanifest Meta entfernen
• Entfernen Sie rsd_link Meta
• Wpemoji entfernen

und viele mehr..

Ich möchte die Codierungsoptionen nicht wiederholen, da sie ausführlich behandelt wurden. Die andere Option, die ich kenne, ist die Verwendung eines Plugins, das wp verbirgt. Ich habe dieses Plugin zuvor zu befriedigenden Standards verwendet. Es heißt verstecke mein WordPress.

Die meisten Antworten konzentrieren sich darauf, WordPress im Quellcode einer Seite zu verdecken, aber schon vorher hat sich WP im http-Header einer Standardinstallation verraten. Probieren Sie einfach Ihre eigene Site auf einer Site wie Web-Sniffer aus (geben Sie vor, IE 6 zu sein, und fragen Sie nach einem http 1.0-Header).

<http://www.example.com/wp-json/>; rel="https://api.w.org/"

Letzteres ist ein Link zur Wordpress.org-API . Es ist da, da die REST-API in WP 4.4 enthalten war. Sie können es mit dieser Zeile direkt am Anfang Ihrer entfernen functions.php:

remove_action( 'template_redirect', 'rest_output_link_header', 11, 0 );

Viele Plugins, wie Jetpack für seine Shortlinks, fügen möglicherweise auch Links in den http-Header ein. Dies ist möglich, da WP über eine HTTP-API verfügt , mit der Sie Header bearbeiten können. Sie können diese Schnittstelle verwenden, um alle Kopfzeileneinstellungen von Plugins zu entfernen, wenn Sie Ihre Aktion zu spät hinzufügen.

Schließlich können Sie die .htaccess-Header-Schnittstelle verwenden , um alle Aktionen von WP abzufangen. Sie können beispielsweise das Senden von Link-Headern verhindern, indem Sie die folgende Zeile einfügen:

<IfModule mod_headers.c>
Header unset Link
</IfModule>

Sie können ein Thema anpassen, um alle WordPress-Informationen auszuschließen. Entfernen Sie auch das Meta-Widget und alle Widgets, die Informationen über die Plattform ausgeben würden.

Persönlich ziehe ich es vor, meine Dankbarkeit zu zeigen, indem ich zeige, dass ich WordPress verwende.

Sie können das Plugin WPS Hide Login verwenden .
Sie loggen sich mit in Ihr WordPress ein wp-admin. wp-adminMit diesem Plugin können Sie jedoch zu benutzerdefinierten Einstellungen wechseln .

Beispiel:

Vorher: http://example.com/wp-admin
Nachher: http://example.com/custom-text-to-login