这节我们为大家讲解一个wordpress的强大的安全维护插件,我们先进入插件的官方网站,这个插件是Hide My WP Ghost。
隐藏wordpress文件路径:
这款安全防护插件有很多强大的功能,比如说我们看到下面图片里面它有一个说明,它可以把我们wordpress所有的痕迹全部隐藏掉。
之前我们去判定一个站点它是不是使用wordpress搭建的,很简单,我们只要查看它的源代码,在源代码里面我们可以看到这里面有很多的路径,也就是我们的文件的地址,那么每一个地址里面都有类似于wp-content,wp-plugins等等这样的文件的目录,那么通过这个目录我们就可以很容易判断出来这个是使用wordpress程序搭建的。
隐藏wordpress版本信息:
另外当然我们在头部里面也可以看到 wordpress的版本等等这些规格,那么让别人去看到我们的独立展示使用wordpress搭建实际上本身是没有问题的,问题在于wordpress它因为是一个开源的程序,每个人都可以去下载,那么难保有一些有心人他就对这个程序进行研究,研究了以后,他最终就发现这里面可能会有一些漏洞,这也是为什么wordpress的程序会持续的进行更新的一个原因。
因为用的人多了,研究它的人也很多,并且使用wordpress搭建的网站并不仅仅是我们自己在用,比如说国际上一些知名的网站,像美国的Nasa(nasa.gov),白宫的博客(whitehouse.gov)等等,它都是使用wordpress搭建的,那么这样的网站它的信息就非常的敏感,所以这个时候我们需要对我们的wordpress程序进行保护分为几种,第一种就是把我们的wordpress的痕迹尽量把它抹除干净,这样的话别人就不知道我们使用什么程序搭建的了。
隐藏wordpress默认登录地址:
正常的wordpress的登录地址就是在域名后面加上/wp-admin,这样的话就直接可以进入我们的后台的登录面板。
当然除了这个地址之外,我们也可以使用/wp-login.php,这也是可以进入我们的后台的登录面板,那么他进入我们的登录面板以后,他就有可能去尝试破解我们的账号和密码,这对我们的独立站也是一个风险的隐患,所以我们需要把我们的管理员的登录地址也把它隐藏掉。
重定向登录地址:
除此之外我们也可以去修改,如果他输入的地址是错误的,比如他输入/wp-admin或者/wp-login.php,我们直接可以301重定向到首页或者是其他的页面。
独立站暴力防护:
一般我们登录wordpress的后台,你会发现一个问题,这个问题就是你在这里可以无限制的去输入你的用户名以及你的密码,而wordpress并没有过多的干预,这样的话如果有一些人他不停的去尝试我们的账号和密码,它是有可能破解了我们的账号和密码的,所以对我们的独立站也是一个风险,所以在这里我们需要去限制他的登录,比如他登录了3次5次,如果他一直在输错,那么我们就直接把他的账号给锁定,锁定的方式就是限制他的IP去登录,但是他可能还有其他的方法,但是起码来说通过这种方式可以减少我们被破解的风险。
IP名单设置:
我们也可以设置一些白名单黑名单,特别是一些做跨境的朋友,很多时候我们不希望国内的同行去打开我们的站点,所以这个时候我们可以把一些同行的IP经常进入我们的站点里面,没有消费的IP把它屏蔽掉。
2FA两步验证:
除此之外这个插件它还集成了两步验证,因为平时我们登录wordpress后台的话,它只有一个密码验证,那么我们可以通过两步验证,比如说你既要输入密码,也要通过你的邮箱的验证码,然后这样的话才能够登录,或者是我们通过集成谷歌的一些防机器人的工具,那么也可以做到两步验证。
独立站安全检查:
最后就是这个插件,它也可以对我们的站点做一些安全的检查,防止我们有一些没有做到位的地方,他可以帮我们去筛查一遍,然后有哪些需要去修改的时候,他也会提出一些修改的意见。
所以这个插件集成的60多项安全检查,涵盖了我们对 wordpress搭建独立站所担心的所有安全问题的一些解决方案,那么这个插件我们已经给大家准备好了,目前它的版本是7.2,并且也给大家提供了一个汉化包,下面我们就给大家去安装演示一下这个插件的使用方法。
Hide My WP Ghost插件安装
首先我们先进入我们的后台,然后找到插件,安装插件,我们直接去安装主程序,然后点击打开安装。
当插件安装成功以后,我们直接去激活一下。好安装成功以后上面会有一个缓存的提醒,我们把它清除一下就行了,这里就不用管它了。
Hide My WP Ghost功能介绍:
然后安装成功以后在我们的底部,在这里我们可以看到有一个Hide my wp,然后我们点击打开好进入面板以后,首先我们在上面可以看到它提醒我们开启安全模式或者是幽灵模式,所谓的安全模式其实就是我们常规的安全防护,如果是幽灵模式,它的安全的防护会更高,权限会更高。
下面可以对我们整个站点的安全做一个检查,然后有哪些没有做到的,他会告诉你。
另外就是这个插件所包含的所有的核心功能,比如说第一个就是对我们的路径进行隐藏,另外它也兼容一个缓存插件,还有elementor这样的插件,那么两步验证,隐藏我们的评论的路径,隐藏我们评论的文件,包括我们的地图文件也可以加入cdn等等。另外它也可以去监控我们wordpress后台的一个日志,就有哪些用户访问了哪些页面,做了哪些修改,这些都能看到的。
所以这个插件相对来说比较强大,下面我们就一个为大家去讲解,首先我们需要去开启它的安全模式。
Hide My WP Ghost安全模式开启:
这里我们看到它有三种模式,第一种模式,我们的不开启模式,不开启我们的后台的登录路径,就wp-login.php或者wp-admin。
第二种安全模式,它就可以把我们后台的路径,包括我们的wp-content,这样的文件路径,还有我们的核心文件,作者的路径等等这些都把它隐藏掉。
Hide My WP Ghost路径测试:
第三种就是幽灵模式,那么它的要求会更高一点,但是正常情况下我们不需要那么高的权限,我们只需要用安全模式就可以了,所以这里我们需要去开启一下,然后点击继续,然后你保存一下,它就直接帮我们开启了。
当然我们还可以去设置,现在我们先把它设置为安全模式,那么在这里你首先要做一个测试,因为它也不能保证安全插件能够兼容所有的主题和插件以及你的服务器,所以我们先测试我们的登录,它这里会有一个弹窗,我们看到它可以正常进入我们的登录界面,并且我们也可以登录后台,说明我们的后台是没有问题的。
然后另外我们需要去看一下我们的前台,他告诉我们的前台也是安全的,所以我们就要确认一下,确定这个插件已经在工作的状态。
点击完以后我们要稍微等一下,它会有一个文件下载,我们保存一下,那么这个文件就是把你新的登录的后台,就从之前的wp-admin变成了新的newlogin,当然这个名字我们是可以修改的,另外他也给我们设置了一个安全地址,如果上面这个地址失效了,你就用下面这个地址直接进行登录就可以了。
但是正常情况下这个文件我们保存一下就可以了。
因为后台的登录地址一般我们需要去设置为一个我们经常使用到的地址,牵扯到我们的修改,现在我们先不修改,我们先看一下前台的状态,因为刚才他修改的是我们的后台的登录地址,并且同时也修改了我们所有的文件地址,当然这个文件地址不会影响到我们服务器上面的文件的实际访问地址,它只是在前台,在我们的原文件里面,别人看不到我们的地址了,所以我们右击查看一下我们的源文件。
打开以后我们可以看到我们这里的路径都已经改变了,之前这些路径都是使用的wp-content,那么现在我们看到它是库是这样的一个文件名字,那么通过这个文件名字,别人就不知道你是不是使用的wordpress搭建的,所以这是第一步开启我们的安全防护。那么下面就是针对这里面的内容可以做一些简单的设置,这个里面的内容你不用管它。
后台登录地址名称修改:
比如说在这里我们看到的wp-admin,那么我们把wp-admin给它隐藏起来了,这里也有一个按钮,这个按钮指的是我们打开它是第二步的设置,就是别人如果还是使用大wp-admin去登陆的时候,我们就直接让它跳转到首页,就是登录不上了,我们继续往下面看下面一个就是我们的登录的名字,这个名字我们就可以把它修改一下,比如说我们这里就使用学建站,然后把wp-login.php给它隐藏掉,然后保存一下。
保存完以后,现在我们在无痕模式下面就打开,比如说我们用常规的wp-admin,就已经没办法进入我们的后台了,它直接跳转到我们的首页了,那么这里我们就只能使用我们设置的名字,比如说xuejianzhan,这样才能够进入后台,所以它可以改变我们的登录地址上面这个模块我们可以把它隐藏掉,因为我们已经改变了。
Ajax无刷新登录路径:
那么下面一个就是针对ajax,ajax就是一个无刷新的登录的方式,那么有一些站点它可能是前台登录的,那么前台登录你点击登录它就会弹出一个登录窗口,这样的话是不经过后台的,所以我们需要把这个也把它隐藏掉,我们这里勾选一下,然后保存。
然后另外针对我们的作者的,比如说我们的站点进入博客里面,博客里面因为哪个人去写的这篇文章,它会有一个作者的名字,我们点击进入这个作者,它也变成了一个writer,我们刚才所设置的,当然你这个也可以把它修改掉。
Wordpress其他文件路径:
另外就是我们的wp-content这样的路径,我们把它变成了core,当然你也可以把它修改成其他的,包括我们的wp-includes也可以把它改成其他的名字,下面一个是我们的评论,其他的我们都可以默认,然后针对我们的插件的路径,我们也已经把它改变成其他的了,实际上这些我们默认就可以了,包括我们的style.css,我们也把它改成design.css,那么正常我们的wordpress都会有一个默认的css文件,就是style.css,那么style.css里面就可以判定出来,我们这个主题所使用到的名字,包括它使用到的版本,而如果把它改成design.css,他可能就看不到了,他搜不到 style.css了。
另外就是我们的API的安全,这里我们默认就可以了,包括我们的防火墙,比如说如果是一般的访客,我们在前台隐藏这个工具栏,当然我们在默认设置里面也可以还有一些其他的设置,包括我们的分类目录的地址,包括我们的tag的地址,当然这两个我们尽量不要去修改它,因为它牵扯到我们的固定链接,这就是这个插件的第一个功能,隐藏我们的后台地址,以及隐藏我们的文件路径,插件的其他设置可以参看其他视频教程学习。
评论(0)