Table of Contents
Для чего нужно скрывать информацию о ваших плагинах?
В одном из ваших плагинов версии 1.4.5, разработчики допустили ошибку, из-за чего плагин стал уязвим. Злоумышленник знает об этой уязвимости, а значит он уверен, что если у вас установлен выдуманный нами плагин версии 1.4.5, то ваш сайт можно легко взломать.
Как злоумышленник может узнать версию и имя плагина?
В WordPress все плагины хранятся в директории /wp-content/plugins. Если посмотреть в html код страницы с фронтальной стороны сайта, мы сможем увидеть, как плагины подключают свои ресурсы, тем самым выдавая себя:
Просто посмотрев на URL ниже, мы явно сможем определить, что на блоге установлен плагин elementor
https://-domain-name-/wp-content/plugins/elementor/assets/lib/jquery-numerator/jquery-numerator.min.js
Теперь мы легко сможем узнать версию плагина:
https://-domain-name-/wp-content/plugins/elementor/readme.txt
Скрываем информацию о плагинах
Для выполнения этой задачи нам понадобится плагин Clearfy и его активный компонент Hide my wp.
В плагине Clearfy перейдите в раздел “Защита” и нажмите на закладку “Конфиденциальность основных директорий” и найдите раздел “Изменить путь к директории plugins“. Этот раздел настроек помогает скрыть ваши плагины и их содержимое от злоумышленников.
Теперь нам нужно правильно настроить эту группу опций.
Новый путь к директории plugins
Введите новый путь к вашей директории plugins, используя только буквенно-цифровые символы без слешей в начале и конце строки. Пример: если вы введете слово “modules”, ваш путь к плагину elementor будет выглядеть вот так http://-domain-name-/modules/elementor/
Примечание: эта настройка не меняет фактические имена директорий, при отключении плагина эффект плагина исчезнет без последствий.
Переименовать плагины
Эта настройка подменяет имена плагинов случайным набором символов 79f6d4d2.
Если путь к плагину elementor выглядел вот так http://-domain-name-/modules/elementor/, теперь он будет выглядеть так http://-domain-name-/modules/79f6d4d2/.
Есть два варианта этой настройки, переименование только активных плагинов и всех. Нужно ли переименовывать неактивные плагины? Дело в том, что даже если плагин деактивирован, любой может получить доступ к его содержимому. Неактивные плагины не подвержены взлому, если только в них нет серьезных нарушений стандартов кодирования. Если вы заботитесь об оптимизации скорости сайта, вам подойдет вариант “Только активные”, но если вы хотите максимально скрыть признаки использования WordPress, вам стоит выбирать “Все плагины”.
Заблокировать доступ к директории
После того, как вы изменили путь к директории plugins, доступ по ссылке к директории по-прежнему открыт. Эта опция позволяет заблокировать пользовательский доступ по URL http://-domain-name-/wp-content/plugins/elementor/readme.txt, теперь если пользователь попробует запросить эту страницу, он получит 404 ошибку вашей темы по умолчанию.
Скрываем файл readme.txt
Мы подменили путь к директории плагинов и скрыли названия плагинов. Но если мы перейдем по ссылке:
https://-domain-name-/modules/79f6d4d2/readme.txt
У нас откроется файл readme.txt, где можно увидеть название плагина и его версию. Поэтому для нас важно закрыть доступ к этому файлу для всех пользователей.
В плагине Clearfy перейдите в раздел “Защита” и нажмите на закладку “Основные настройки” и найдите раздел “Файлы и директории“.
Включите опцию “Скрыть сервисные файлы (.txt,.log,.html)”, эта опция заблокирует доступ ко всем сервисным файлам, которые содержат информацию о вашем сайте.