1. 隐藏 WordPress 特征
- 服务器身份隐匿:有效对攻击者、垃圾邮件发送者和主题探测器隐藏网站基于 WordPress 搭建的事实,降低被针对性攻击的风险。例如,黑客在扫描目标时,难以直接判断该网站使用的是 WordPress 系统,从而减少被攻击的可能性。
- 文件路径伪装:可对诸如wp – login.php、wp – admin等关键文件和目录进行隐藏或改名。将wp – login.php隐藏后,尝试直接访问原路径会显示 “未找到”,若要访问则需通过特定设置的新路径,如hide – my – wp.wpwave.com/wp – login.php?hide_my_wp = 1234 ,极大提升了登录入口的安全性;把wp – admin目录改为my – admin,使未经授权的用户无法轻易找到网站管理后台的路径。
- 主题与插件信息隐藏:能够隐藏网站上活动插件的名称,从源头上避免黑客因知晓插件信息而利用插件漏洞进行攻击;同时可以修改源代码中的文本字符串,进一步混淆网站基于 WordPress 的特征,让网站在代码层面更难被识别为 WordPress 站点。
2. 安全攻击防护
- 实时攻击拦截:具备实时拦截 SQL 注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等常见攻击类型的能力。当有恶意请求尝试进行 SQL 注入时,插件能瞬间识别并阻断该请求,保护网站数据库不被非法篡改或窃取数据;对于 XSS 攻击,可防止恶意脚本在用户浏览页面时被执行,保障用户信息安全。
- 智能入侵检测:通过智能 IDS(入侵检测系统)持续监控网站请求,对潜在的危险请求进行精准识别。一旦发现异常请求模式,如短时间内大量来自同一 IP 的请求、包含特殊攻击关键词的请求等,会及时发出警报并采取相应的防护措施,有效防范黑客的试探性攻击。
3. 网站设置修改与优化
- 链接结构调整:可以修改 WordPress 的永久链接结构,自定义文章、页面、作者等链接形式,不仅有利于 SEO 优化,还能通过改变常规的链接模式,让攻击者难以通过链接猜测网站内容结构和数据组织方式。
- 资源路径变更:能够对上传文件路径、wp – includes文件夹路径、Ajax 请求路径等进行修改。将上传路径从默认的wp – content/uploads改为自定义路径后,攻击者更难获取网站上传的文件;修改 Ajax 请求路径,可防止攻击者利用默认路径进行恶意请求干扰网站正常运行。
- 内容输出处理:能够压缩 HTML 输出,去除源代码中的注释,减少页面加载时间,提升用户访问速度;同时可移除 WordPress 在页面头部和订阅源中的元信息,进一步隐藏网站的 WordPress 身份特征;还支持替换 HTML 输出文件中的任意指定词汇,满足用户对特定内容展示的个性化需求。
4. 访问权限控制
- IP 白名单功能:新增加的白名单功能允许用户仅允许特定 IP 访问网站的 WordPress 管理区域。只有在白名单中的 IP 地址,才能对网站进行管理操作,如登录后台、更新内容等,有效防止未经授权的外部 IP 尝试登录管理后台,大大增强了网站管理权限的安全性。
- 页面访问限制:可针对特定页面、文章、分类、标签等设置访问权限,实现对网站内容的精细化管理。例如,限制某些敏感页面仅对注册用户可见,或者对特定用户组开放特定内容的访问权限,确保网站内容的访问符合用户设定的安全策略。
5. 其他实用功能
- 访客监控通知:当有人访问网站时,插件可向网站管理员发送通知,并附带访客的详细信息,如 IP 地址、用户代理、来源页面甚至用户名(若用户已登录)。管理员能实时了解网站访客情况,及时发现异常访问行为,如来自陌生 IP 的频繁访问或恶意扫描行为。
- 自定义 404 页面:支持用户创建自定义的 404 页面,当用户访问不存在的页面时,展示个性化的提示信息,不仅能提升用户体验,避免用户因看到默认的 404 错误页面而产生不良印象,还可通过自定义页面内容,引导用户返回网站其他正常页面,减少用户流失。
