怎样使用Hide My WP来加强WordPress网站安全性?

0
6972

WordPress是一个开源的内容管理系统,正因为如此,WordPress所有的源码都是公开的,这样一来,开源的程序漏洞如果未及时更新而被黑客发现,就会有遭受攻击的风险。实际上,WordPress本身的安全性是非常可靠的,但如果我们把WordPress的众多特征隐藏,迷惑和误导黑客,让他们误以为是别的网站程序而发动错误的攻击,就可以达到加强网站安全的目的。
 
Hide My WP这款插件的主要功能就是隐藏WordPress的信息特征,即使别人通过查看源代码和URLs的路径等方式,也不会知道你使用的是WordPress系统。接下来,我们将具体展示如何使用Hide My WP插件来加强WordPress网站的安全性。

什么是Hide My WP?

利用WPthemedetector或Whatwpthemeisthat,可以查询到你使用的主题或插件,但是在安装Hide My WP插件后, 查询结果就不会显示你使用的是WordPress网站。这个插件是一个安全工具,它可以帮你隐藏你使用WordPress的这个事实,让人无法获知你的WordPress版本号。此外,它也是一种反垃圾邮件插件,可以保护你免受大规模的野蛮攻击,以免更为激进的僵尸网络出现在你的WordPress安装程序中。
 
Hide My WP插件有多种编程语言,包括JS JavaScript、CSS、PHP和HTML等,因此它可以在WordPress v3.4 到WordPress v4.1,甚至更高的版本运行。还有一点,它是一种可定制的插件,可以和你之前安装的插件一起运行。 

具体功能

  • 去除WP的版本号
  • 禁用WP归档、分类、标签等
  • 更改固定链接
  • 更改插件和主题目录
  • 禁用订阅
  • 隐藏网站登录地址,使用你自己设置的登录地址
  • 针对不同使用者,设置隐藏的信息

怎样安装和激活这个插件

首先你应该去官方网站(http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158)购买和下载这个Hide My WP插件。下载成功之后,你应该到WordPress仪表板然后找到“插件”并点击“添加新的插件”。接下来,点击“上传插件”按钮,从你的本地电脑选择你刚刚下载的压缩文件进行上传。上传成功之后,点击“安装”,安装完成之后,系统将提示你激活这个插件。

如何配置这个插件

做完前面提到的这些准备工作之后之后,接下来你需要自己配置这个Hide My WP插件。

1. 在“General Setting”里进行设置

在“General Setting”这里有各种各样的编辑选项。首先,你有权使用主题404。你也能够从许多可选的选项里,设置可信用户,如“作者”,“投稿者”,“订阅者”,“网店管理人”等等。 
 
同时,你可以隐藏wp-login.php文件和一些不可信用户的wp-admin文件夹。如果你已经有了一个定制的.htaccess而且不想用HMWP进行频繁的更新,那你需要选择“Customized .htaccess”。
 
向下滚动,你可以从header删除自动生成的feeds,也可以从脚本和样式URLs中删除版本号。此外,你还可以隐藏管理栏,PHP文件和其他不明用户的文件。如果需要,你可以使用关键字替换在你的HTML输出中,同时,填写你的电子邮件发送者地址和名称。当然,如果你对当前的设置不满意的话,你可以恢复到默认设置。
设置“General Setting”

2. 在“Permalinks & URLs”里设置固定链接

在这个部分,你需要改变和创建不同的路径和链接结构,为的是消除WordPress链接漏洞。或者更确切的说,你可以创建新的主题路径,新的样式名,新的wp-includes文件的路径等等。此外,你可以启用HVWP反垃圾邮件系统,改变每一个插件文件夹的名称和Ajax URL。
 
另外,你还可以进行一系列的个人设置,如 “Author”,“Feeds”,“Post”,“Page”,“Category”,“Paginate”等等,所有这些选项可以防止恶意软件检测到你目前使用的是WordPress网站。除了这些以外,你还能够禁用存档查询和 WP的其它特征。当然,这里的这些设置也是可以恢复默认的。
在“Permalinks & URLs”里设置固定链接

3. 在“Start”里进行设置

完成以上设置之后,你需要在“start”的“Export Options”里可以输出所有设置的代码,将这个代码复制到其他站点,不需要再重复设置。
在“Start”里进行设置

总结

这款插件基本上可以将WordPress所有的特征在前端隐藏,这样就可以基本上为网站做到程序上的隐身和迷惑,让攻击者无法知道程序是什么,从而加大网站攻击的难度。但是这个方法只能是迷惑和误导,并没有真正意义上的防御功能。保护你的WordPress网站是一场持久战,需要大量时间和金钱的投入。
 
因此,为了更好的专注于你的网站业务,你需要选择一个可靠的、专业的WordPress托管方案,负责维护和保护你的网站。在这方面,必盛互联就是不错的选择,我们有强大的建站优势和7×24小时全天候技术支持,为你的网站提供绝佳的保护。