WordPress найдены признаки использования

Содержание
  1. Как скрыть любую CMS от сервисов проверки builtwith.com, 2ip.ru, itrack.ru и других
  2. Как скрыть движок сайта от builtwith.com и любого другого сервиса проверки CMS?
  3. Как убрать сайт работает на WordPress
  4. Законно ли удалять кредитные ссылки WordPress?
  5. Удаляем надпись в настройках темы
  6. Как изменить, убрать или скрыть надпись сайт работает на WordPress
  7. Правильный авторский копирайт в подвале/футере сайта/блога
  8. Linux, кодинг, митолл и прочая хрень 🙂
  9. 1. Заголовки
  10. 2. Шапка
  11. 3. Пути
  12. 4. Внешние файлы
  13. 5. Плагины
  14. 6. Код
  15. Полезные ссылочки
  16. 49 комментариев
  17. Как обнаружить вредоносный код в темах WordPress
  18. Что такое Nulled WordPress Theme?
  19. Почему темы WordPress заражены вредоносным ПО
  20. Признаки для поиска наличия вредоносного кода в темах WordPress
  21. Как обнаружить вредоносный код в бесплатных темах WordPress?
  22. Сканирование WordPress Theme перед установкой.
  23. Задайте вопрос Google.
  24. Удаляем следы WordPress с сайта
  25. Как удалить следы вордпресса своими руками с сайта
  26. Закрываем админку WordPress на Apache 2.4
  27. Удаляем версию WordPress на сайте
  28. Запрещаем обращение к корневым файлам вордпресс
  29. Удаляем версии скриптов в коде страницы на сайтах WordPress
  30. Заметаем все следы WordPress полностью
  31. Как отключить Emoji в WordPress
  32. Как полностью отключить REST API в WordPress

Как скрыть любую CMS от сервисов проверки builtwith.com, 2ip.ru, itrack.ru и других

Добрый день, уважаемые читатели блога Site on! Комментарий к прошлой статье о скрытии признаков Joomla заставил меня немного углубиться в эту тему. В этой статье я расскажу, как скрыть ещё один характерный признак Joomla, а также как скрыть любую CMS от любого сервиса проверки.

В этот раз могу смело утверждать, что мне удалось скрыть свою CMS от абсолютно любого online сервиса, даже от тех, которые заточены только под конкретную CMS, например, http://isthissitebuiltwithdrupal.com

Однако плагин Wappalyzer всё ещё остаётся не решённой задачей, скоро вы поймёте почему, а пока давайте как раз о нём и поговорим.

В первом комментарии к прошлой статье с нами поделились ссылкой на исходники этого плагина, чтобы не заставлять вас переходить по ссылке выложу здесь критерии проверки для наиболее популярных CMS (Joomla, WordPress, Drupal):

В общем, я пришёл к выводу, что это слишком трудозатратно, а профита не так уж и много. И я имею ввиду раздел html, из которого видно, что нужно как минимум исправлять все ссылки подключаемых скриптов и стилей и прочего.

Хотя может быть я ошибаюсь, и кто-то уже давно решил эту задачу?

Однако, не смотря на то, что плагин я не одолел, я заметил ещё один характерный признак Joomla, по которому блуждающие боты смогут определить Вашу CMS. Это посылаемые заголовки сервера. Я как-то читал тему на форуме, в которой писали что-то типа: «Настройте правильные заголовки, и вашу CMS будет практически невозможно распознать». Это конечно пыль в глаза, так как этого мало, но доля истины в этом есть, вполне возможно, что некоторые боты распознают CMS Joomla и другие CMS только по заголовкам сервера.

Меняем всю эту строку на следующую:

Теперь заходим в следующий файл \libraries\joomla\environment\response.php и ищем 299 строку, которая будет содержать такой фрагмент:

Готово, мы скрыли ещё один характерный признак использования Joomla.

Как скрыть движок сайта от builtwith.com и любого другого сервиса проверки CMS?

Всё написанное далее уже никак не относится к оптимизации сайта, это скорее решение конкретной задачи.

После раздумий о том, как можно было бы проще скрыть CMS от Wappalyzer, я пришёл к выводу, что чем проделывать объёмную работу, лучше рубить проблему под корень. Я решил, что нужно закрыть доступ к сайту для всех сервисов проверки, чем изменять структуру всей CMS, а как это сделать? Например, банальным «баном» по IP.

После этого, в ходе незамысловатых манипуляций, я узнал IP всех интересующих меня сервисов… ну что, начнём?

Буду краток, впишете этот код в любом месте файла .htaccess, который лежит в корне вашего сайта:

После вставки этого кода, ни один сервис для проверки CMS не сможет распознать движок вашего сайта и любые другие используемые Вами технологии, так как сервисы в ответ будут получать ошибку 403 (доступ запрещён).

Спасибо за внимание и хорошего вам настроения!

Источник

Как убрать сайт работает на WordPress

Как обычно, после установки любой темы WordPress с официального сайта wordpress.org (в основном темы от команды WordPress или от Automattic), нам первым делом хочется убрать из подвала всё не нужное, в том числе и данные ссылки, а как это сделать, новички не знают. И тут появляюсь я и подсказываю. Во, какой я молодец. О, да!

Законно ли удалять кредитные ссылки WordPress?

Вам будет интересно узнать, что если вы удалите ссылки из футера WordPress, у вас не будет проблем.

WordPress, как юридическое лицо, является бесплатным и распространяется по лицензии GPL (General Public License). По сути, это означает, что вы имеете право использовать, изменять и даже распространять WordPress.

Если этого недостаточно для вас, любая лицензия WordPress, которую вы загружаете из официального каталога тем WordPress.org, подпадает под действие лицензии GPL. Таким образом, вы можете смело вносить изменения и в них.

Ваш шедевр навсегда обречен быть талисманом WordPress. Или всё таки можно убрать надпись Сайт работает на ВордПресс? Хорошая новость в том, что можно и даже нужно. SEO никто ещё не отменял. Читайте, как?

Для удаление текста «Сайт работает на WordPress» есть 4 (четыре) способа. Это:

Удаляем надпись в настройках темы

Прежде чем лезть в код темы, нужно в первую очередь посмотреть нужный параметр внутри настройщика тем WordPress ( Внешний вид — Настроить):

Поищите параметр настройки Футер или что в этом роде:

Открываем Футер, а затем Нижний колонтитул. Если повезет, можете получить ​​возможность удалить или отредактировать надпись нижнего колонтитула в настройщике темы WordPress. Да, повезло, в теме Astra есть возможность отредактировать нижний колонтитул:

Если данный параметр отсутствует у вас в настройках, тогда переходим к решению проблемы другим способом.

Давайте теперь используем другой метод. Учтите, что при обновление темы вам предстоит всё начинать сначала, то есть, опять редактировать файлы шаблона. Для того, чтобы ваши изменения не пропали можно:

Отредактировать или удалить текст в темах, которые кодируют его непосредственно в футер, можно создать дочернюю тему, продублировать файл footer.php из родительской темы и отредактировать его. Все ваши изменения будут сохранены, при обновление основной темы.

Найти эту надпись легко, в файле Подвал ( footer.php ) вашей темы. В примере, я буду использовать тему Twenty Fifteen ( обновлено, добавил в пример другие шаблоны ), но, это не важно, код выводящий надпись Proudly powered by WordPress у всех шаблонов почти одинаковый.

Читайте также:  Верный признак измены мужа

Как изменить, убрать или скрыть надпись сайт работает на WordPress

Все эти бесплатные темы снабжены ссылкой в ​​футере, поэтому у вас есть два варианта: либо смириться с ней, либо следовать моему руководству, чтобы удалить ее.

Первый и самый простой способ, это скрыть надпись с глаз долой, не удаляя её из шаблона, с помощью небольшого кода css. Плохой способ, надпись скроете только от посетителей, но не от поисковых систем. Если вам всё равно, то действуйте.

И удалите весь участок кода между этих строчек:

Правильный авторский копирайт в подвале/футере сайта/блога

Так вот, вместо удалённого участка кода вставляем например, такой:

Где цифра 2013, это будет год основания блога (замените на свой год), а строка будет автоматически выводить год текущий. Вам теперь вам не нужно будет в новогоднюю ночь, в ручном режиме, править дату.

Следующая строка, это вывод название вашего веб-ресурса и одновременно будет являться ссылкой на главную/домашнею страницу сайта. И далее, идет надпись предупреждения, которую вы можете изменить на свою. Вот так, это будет выглядеть:

И ещё, дамы и господа, можно сделать попроще (рекомендуют опытные блогеры). Вставить код, чтобы название сайта не являлась дополнительной лишней ссылкой на главную страницу, а отображалось просто текстом:

Источник

Linux, кодинг, митолл и прочая хрень 🙂

Вордпресс наверно самый популярный движок в мире. Удобный, куча плагинов, тем и хаков. Все хорошо, но есть и ложка дегтя — это куча спама, попытки взлома, ну и частное мнение некоторых товарищей что на вордпрессе нельзя сделать что-то путное.

И вот была поставлена задача для одного сайта первоначально спрятать, что это вордпресс, а потом и выдать его за другую cms. Про то, как сделать из одной cms другую (по внешним признакам) я могу отдельно пост накатать, если кому интересно будет. Тут расскажу как убрать признаки вордпресса.

Сам поциэнт http://battmart.ru/, еще не готов в плане диза и наполнения, но попалить цмску на нем уже не получится. Определяется как битрикс, на самом деле вп обычный.

Вордпресс палится сразу несколькими вещами. Для их определения мы заюзаем таблицу признаков cms.

1. Заголовки

Что-же тут такого палится. X-Pingback конечно же.

Убираем в файле functions.php нашей темы.

Еще плагины для кеширования могут добавить информацию о времени жизни кеша и подписаться. Решается по аналогии.

2. Шапка

Пути до тем, цссов и js отдельно будут рассмотрены в следующем разделе. Тут про мета-теги типа генератор и другую фигню, которую всякие плуги суют.

Пример шапки с моего блога

Тут мы видим адреса фидов, пингбеков, сеопак засунул свою инфу. Плагины вообще любят в шапку свой хлам насовать.

Так вообще вп сует еще манифесты, адреса предыдущего и следущего поста, рсд.

Есть радикальный способ убрать все это дело — удалить вызов функции wp_head() в шапке. Тогда ничего не будет автоматом соваться. На подопытном сайте я так и сделал.

Или надо по одному выключать все, что свидетельствует о вп. Делается через хуки в файле functions.php выбранной темы:

Для ленивых есть плагин WP Head Section Cleaner, сам все подчистит.

3. Пути

Самая мякотка. Именно по путям можно однозначно сказать, что за цмс именно используется. С путями не так все просто — их нельзя взять и поменять без проблем с последующим обновлением. Поэтому действовать нужно более обходительно.

Папок у вордпресса 3 — wp-admin, wp-includes, wp-content. Только wp-content позволяет менять свое имя. С него и начнем.

Тут конфиг с баттмарта, пути типа под битрикс сделаны.

С templatepath небольшая засада, он прибавляется к выводу функции theme_root() и theme_root_uri(), т.е. поменять через templatepath можно только конец пути.

Чтобы сделать путь до темы полностью произвольным, нужно добавить в functions.php это

Также можно прописать новые пути до css и js, используя хуки script_loader_src и style_loader_src.

Теперь черед папки wp-admin. Встроенными средствами ее не переименовать. Был раньше плагин, stealth-login, но пропал куда-то. Однако один неизвестный вебмастер предусмотрительно его сохранил. Плагин прячет wp-login.php, переименовывает путь до wp-admin/

Хотя плагин старый, но на последнем вордпрессе заработал. Скрин настроек с баттмарта

Однако, есть один момент с этим плугом. Он не запрещает пути, он вешает редиректы на них. А нам нужно получить 404 по всем известным путям.

Я решил не заморачиваться и просто закрыл доступ на все системные папки для всех айпи кроме моего.

Так вот отрубаются все пути.

4. Внешние файлы

Второй по обьему любви пункт. Фенька в том, что окромя папок в корне также лежат файлы, которые при запросе извне дают ответ, отличный от 404. Именно этот ответ и выдает нас. Также отрубаем все в htaccess

Небольшое предостережение. Такое тотальное запрещение подключения файлов может вызвать проблемы что кому-то просто не будет ничего показываться. Хотя подключение файлов идет через include внутри вордпресса, так что все должно быть нормально.

Я пока не испытывал никаких проблем с этим, но если будут то отпишите в коментах.

Это были системные файлы. Есть еще файлы, которые боты поисковых систем запрашивает сразу. Это роботс и, если есть, сайтмап.

В роботсе обычно закрывают админку от индексирования. Поэтому нужно удалять все такие строки.

В сайтмапе обычно вставляется коммент о том, какой плуг сгенерил ее. Какбы тоже признак, но про это в своем пункте.

Еще один признак вордпресса, самый наверно глупый — это присутствие в корне файлов readme.html и readme.txt ))

5. Плагины

Плуги палятся тем, что любят вставить свой коммент или цсску или яваскрипт в код. Тут какбы нет общих методик для всех плагинов. Нужно просто смотреть код и уже действовать по обстановке. Имейте ввиду, что некоторые плуги грузятся только на странице поста или категории.

Я просто не использую плуги.

6. Код

В коде почти во всех темах внизу расположен копирайт вордпресса. Кроме того, у вп есть свои имена классов css. Все это решается если самому верстать тему. Там и копирайтов не будет и классы для цсс будут иметь свои имена.

Вот и все, что я делал чтобы скрыть вордпресс. Если найдете какую лазейку, которая позволит вам идентифицировать данный сайтик как вп, черканите плз в коменты

Данной функцией можно удалить сразу все комментарии в шаблоне.

Читайте также:  Какие лекарства принимать при первых признаках гриппа

Полезные ссылочки

49 комментариев

Блин, только уходить собрался…
Сохраняю целиком, потом читать буду 🙂

/admin редиректит на /wp-admin/
/login редиректит на /wp-login/

из поста
>>Однако, есть один момент с этим плугом. Он не запрещает пути, он вешает редиректы на них

Битрикс — это интересно 🙂 Раз собрался, выкладывай и про другие «положительные» CMS.
C Ip засада. У меня мобильный интернет и айпишник тут меняется по щучьему велению и чьему-то хотению.
Вот про изменение страницы авторизации на другую попадалась статейка раньше у кого-то из блогеров, как ещё один шаг к повышению защищённости блога, правда нужно поискать её…
Уяснил одно, что скрыть можно, хотя и сложно, а на обновлениях при этом желательно забить крест…

с обновлениями все норм кстати, т.е. их работа изначально преследовалась

если с айпи проблема — то навскидку решение, создаешь страницу с произвольным именем и в htaccesse проверяешь не айпи а рефера

Знавал историю про чувака, который также опасаясь попалить ЦМС маскировал ее под другую, в итоге за такую подмену попал под фильтры Яндекса. У вас с индексацией подопытного тоже не все гладко, но может это просто сайт еще новичек и контента толкового нет, потому он и не в индексе поисковых монстров

и под какие фильтры попал чувак?

а подопытный закрыт от индексации в роботсе, там еще дел куча

Какие фильтры точно уже не помню, но с поиска трафика точно меньше стало

По поводу закрыто от индексации в роботс. Тоже классический бич советского менталитета. Что страшного в том, если поисковики уже начнут индексировать сайт? по мере развития сайта поисковики учидят, что сайт развивается, а это дополнительный плюс в траст сайту. Понимаю опасения, что посетитель пришел и тут же ушел т.к. сайт недоделан, но тут можно ведь наладить обратную связь или через статистику метрики понять ч каком направлении двигаться, а не по интуиции

А если закрывать пока не будет все идеально, то сайт может вообще всегда быть закрытым, т.к. нет предела совершенству.

Но это сугубо мое мнение и вы вправе с ним не согласиться

>>Какие фильтры точно уже не помню, но с поиска трафика точно меньше стало
Фильтры обычно накладываются за контент, так что цмс тут нипричем

Спасибо. Ещё одна полезная статья о WordPress попадает в закладки…

>>Фильтры обычно накладываются за контент, так что цмс тут нипричем
не факт, за ссылочное тоже, за различные накрутки, да за много чего еще

>>не факт, за ссылочное тоже, за различные накрутки, да за много чего еще
Факт, причем проверенный не раз и не только мной. Вспомни историю с мегаиндексом и их тулзой для накрутки поведенческих.

Источник

Как обнаружить вредоносный код в темах WordPress

В наше время некоторые веб-сайты предоставляют бесплатные плагины и темы WordPress. Но главная проблема заключается в том, что вы не можете доверять источникам, отличным от официального репозитория WordPress. Большинство сайтов, которые предоставляют бесплатные темы, используют вредоносный код для их создания — который действительно трудно найти. И они делают это с намерением взломать те сайты WordPress, на которых установлены такие темы.

В этой статье я помогу вам с выбором какими инструментами отсканировать тему веб-сайта WordPress на наличие скрытых вредоносных программ или вредоносного кода. А также дам подборку лучших плагинов, которые можно использовать для сканирования темы WordPress на наличие потенциально вредоносного кода. После того, как вы обнаружили вредоносный код в WordPress, вам нужно знать, как удалить вредоносную программу с сайта WordPress.

Что такое Nulled WordPress Theme?

Nulled означает взломанную версию темы WordPress. По сути, это Premium WordPress Theme, которая доступна бесплатно (незаконно). Эти темы предлагают проделать черный ход для входа на ваш сайт, что ослабляет безопасность сайта и делает его поддержанным к взлому.

Почему темы WordPress заражены вредоносным ПО

WordPress предлагает темы премиум-класса в своих последних версиях, которые очень безопасны и не подвержены вредоносным кодам. К сожалению, когда речь идет о бесплатных темах, они являются наиболее легко преследуемой добычей для веб-злоумышленников. Причина в том, что загрузка бесплатной темы из неизвестного источника или пиратских сайтов может повлиять на безопасность ваших сайтов.

Такие темы плохо закодированы и ведут к созданию несанкционированного доступа к веб-сайтам через лазейки. Неизвестный источник темы может быть создан хакером, который настраивает его для своей выгоды. Есть несколько из распространенных причин для использования таких тем:

Признаки для поиска наличия вредоносного кода в темах WordPress

Прежде чем обсуждать вопросы «Как обнаружить вредоносный код или вредоносное ПО в темах WordPress», давайте разберем места, где злоумышленники обычно вставляют вредоносный код. Двумя распространенными целями хакеров являются файлы footer.php и style.css.

Кроме того, вы должны вручную проверить все файлы в теме. Темы WordPress могут включать в себя некоторые основные файлы для его функционирования. Но если вы обнаружите дополнительные файлы, которые вызываются без функции php, тогда ваши темы будут заражены серьезным вредоносным ПО.

Признаки, которые выдают, что ваши темы WordPress заражены вредоносным контентом:

Как обнаружить вредоносный код в бесплатных темах WordPress?

Вы можете использовать эти методы для проверки вредоносного ПО в темах WordPress. Выполнение поиска в Google — хороший способ проверить наличие вредоносного кода в определенной теме WordPress. Если кто-то обнаружил вредоносный код в теме, которую он использует, то такой человек предупредил других на различных форумах.

Первым шагом в обнаружении скрытой вредоносной программы или вредоносного кода в вашей теме WordPress является проверка того, все ли файлы, содержащиеся в этой теме, являются обязательными в теме WordPress.

Сканирование WordPress Theme перед установкой.

Наиболее частый метод обнаружения вредоносных программ в установленных темах — это сканирование всего сайта — все файлы на вашем сайте.

Задайте вопрос Google.

Безопасный просмотр Google — это инструмент, который предупреждает веб-мастеров, когда их веб-сайты скомпрометированы небезопасным контентом или вредоносными файлами. Вы можете использовать этот инструмент для диагностики вашего сайта на наличие скрытого вредоносного ПО и устранения его. Вставьте URL вашего сайта в ссылку и нажмите ENTER. Пример:

Источник

Удаляем следы WordPress с сайта

В первую очередь стоит скрыть доступ посторонним для админки. Похожее мы делали в джумле, однако в случае с вордпрессом есть свои нюансы.

Как удалить следы вордпресса своими руками с сайта

Теперь, когда мы убедились в необходимости усиления панели управления сайтом, займемся этим на практике.

Читайте также:  Признаки гипоплазии интракраниального сегмента правой позвоночной артерии

Мы будем делать это стандартными средствами Apache, без использования сторонних плагинов. Существует два варианта запрета доступа: по айпи или по паролю.

Рассмотрим для начала вариант с ip. В этом случае мы должны иметь статический айпи-адрес, на худой конец айпи адреса одних подсетей.

Создадим в папке wp-admin файл .htaccess и добавим директиву deny,allow

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx

где вместо xxx.xxx.xxx.xxx мы ставим наш адрес. Через запятую можно указать несколько айпи-адресов или можно указать маску подсети xxx.xxx.xxx. ( в этом случае будут работать все адреса начинающиеся на данную маску).

Order allow,deny
Allow from all
Satisfy any

После таких манипуляций любой посторонний доступ к папке wp-admin будет запрещен. Если же понадобится зайти с другого компьютера на другом айпи, не забудьте зайти по фтп и добавить нужный адрес в список.

где опять укажем наш белый айпишник. Данная мера поможет избежать возможности bruteforce на сайт.

Второй метод основан на установке парольной защиты на директорию wp-admin и файл wp-login.php

Код для закрытия wp-login.php

Аналогично выглядит и для файла xmlrpc.php

Не буду повторяться о данном методе, подробно это описано в защите админки джумлы, приведу лишь пример для файла .htaccess в папке wp-admin, где мы исключаем файл admin-ajax.php:

AuthName «Welcome home»

SetEnvIf Request_URI ^/wp-admin/admin-ajax.php.* noauth=1

Allow from env=noauth

Закрываем админку WordPress на Apache 2.4

В новых версиях апача директивы order, deny и allow были упразднены и заменены на require. Старые правила конечно продолжают работать (неизвестно до какой версии правда), но в логах будут возникать такого рода ошибки:

Дабы избежать такого мусора да и проблем с совместимостью будущем перепишем наши правила, настоятельно советую всем, у кого используется Apache 2.4 использовать новые правила!

Итак, запрет по айпи административной панели вордпресс теперь превратится в одну строчку:

Для исключения из правил аякс запросов добавляем следующие строки:

Точно также будет и для авторизации через wp-login.php:

Двухфакторная авторизация для админки примет следующий вид:

А для закрытия авторизации на сайте через wp-login.php или xmlrpc.php ничего не изменится.

Как видим ничего сложного нету, и новые директивы более просты в использовании.

Удаляем версию WordPress на сайте

Следующим шагом будет удаление генератора из кода html. Достаточно открыть исходный код любой страницы и можно лицезреть следующее:

Согласитесь, это нам совсем ни к чему.

Делается это совсем просто, достаточно найти файл functions.php вашей темы ( расположена по пути wp-content/themes/ ) добавить функцию:

Идем дальше, глянем на файлы в корне. По умолчанию там любят скапливаться разные информационные файлы, которые подлежат немедленному удалению.

Стандартный набор таких файлов: readme.html, license.txt иногда бывают с разрешением .md

В любом случае желательно и в папках шаблонов и плагинов удалить файлы версий как changelog, readme и license с различными видами расширений. Это предотвратит распознавание версий плагинов, а значит и невозможность подбора уязвимости под версию.

Расширить список файлов можно и самому, добавив по аналогии свои.

Не забываем открыть доступ нужным файлам, особенно ценных для поисковиков:

Запрещаем обращение к корневым файлам вордпресс

Как запрещать доступ к отдельным файлам было показано выше, для любителей краткости могу предложить такой вариант:

Удаляем версии скриптов в коде страницы на сайтах WordPress

В некоторых случаях скрипты имеют свою версию, но большинство получают номер текущей сборки, тем самым выдают реальную версию вордпресса. Для чего воообще это сделали разработчики? Ответ прост, многие браузеры кешируют скрипты и стили на компьютере и при обновлении файлов скриптов не все пользователи могут додуматься обновить кеш. А различия в коде обновления могут исказить сайт в нелучшую сторону. Добавление версии позволяет избавиться от этой проблемы.

Итак, приведу решение, как избавиться раз и навсегда от определения версии WordPress. Не знаю, кто именно придумал этот метод, но он действенен, необходимо добавить в файл functions.php следующие строки:

Заметаем все следы WordPress полностью

С большей частью работы мы справились, однако признаков определения CMS остается прилично. Полностью мы не сможем избавиться от всех следов, не нарушив работоспособность, однако попробуем выжать максимум. Начнем с тем. Во-первых, удаляйте лишние и неиспользуемые темы: стандартные темы типо twentysixteen, twentyseventeen или twentyfifteen можно безболезненно деинсталлировать с сайта. Во-вторых, можно переименовывать темы на свои уникальные, дабы искажать информацию об установленном шаблоне. Тут палка о двух концах, мы не будем получать обновления, это было б неплохо для тяжелых тем, особенно с функционалом магазина. С другой стороны будем уверены, что обновление не перепишет наши правки.

Следующим шагом будем убирать информацию, которые оставляют плагины. Достаточно заглянуть в код страницы и лицезреть в комментариях различного рода информацию, от версий и названий плагинов до информации отладки. Приведу некоторые примеры:

Такой мусор нам совсем ни к чему, в большинстве случаев это можно откючить в настройках плагинов, реже придется лезть в код.

Как отключить Emoji в WordPress

Добавляем в functions.php следующий код:

remove_action( ‘wp_head’, ‘print_emoji_detection_script’, 7 );

remove_action( ‘admin_print_scripts’, ‘print_emoji_detection_script’ );

remove_action( ‘wp_print_styles’, ‘print_emoji_styles’ );

remove_action( ‘admin_print_styles’, ‘print_emoji_styles’ );

remove_filter( ‘the_content_feed’, ‘wp_staticize_emoji’ );

remove_filter( ‘comment_text_rss’, ‘wp_staticize_emoji’ );

remove_filter( ‘wp_mail’, ‘wp_staticize_emoji_for_email’ );

add_filter( ‘tiny_mce_plugins’, ‘disable_wp_emojis_in_tinymce’ );

Как полностью отключить REST API в WordPress

В последних версиях ворпресса появилась очередная фича для разработчиков, позволяющая более гибко и удобно создавать различные приложения. REST API позволяет использовать возможности WP Query посредством простых запросов и всё через wp-json. Простым блогам, не использующим данную технологию, эти нововведения принесли лишь дополнительные хлопоты: в вебмастерах стали индексироваться непонятные страницы, содержащие в адресе /wp-json/wp/v2/posts или /wp-json/wp/v2/users/. Нет повода для радости и в том, что хакеры тоже нашли применение новому апи и во всю эксплуатировали найденные дыры для веб-спама и создания дорвеев. И я думаю, что это далеко не последняя обнаруженная уязвимость в фреймворке REST API. Именно поэтому для тех, кто не использует на своём сайте данные фишки, то их без зазрения совести можно и нужно отключить. Делается это как также в файле функций темы необходимо добавить следующий код:

И напоследок, скину список стандартных файлов, которые обнаруживают популярные сканеры (cmsmap в частности):

Что с ними делать, уже вам решать, удалять, запрещать доступ или оставлять как есть.

Если понравилась статья, поделитесь с ней друзьями. В комментариях жду ваши советы по заметанию следов вордпресса.

Спасибо за статью, жду её дополнения!

Убрать версионность скриптов и стилей можно так:

Источник