Вордпресс наверно самый популярный движок в мире. Удобный, куча плагинов, тем и хаков. Все хорошо, но есть и ложка дегтя — это куча спама, попытки взлома, ну и частное мнение некоторых товарищей что на вордпрессе нельзя сделать что-то путное.

И вот была поставлена задача для одного сайта первоначально спрятать, что это вордпресс, а потом и выдать его за другую cms. Про то, как сделать из одной cms другую (по внешним признакам) я могу отдельно пост накатать, если кому интересно будет. Тут расскажу как убрать признаки вордпресса.

Сам поциэнт http://battmart.ru/, еще не готов в плане диза и наполнения, но попалить цмску на нем уже не получится. Определяется как битрикс, на самом деле вп обычный.

Итак, поехали.

Вордпресс палится сразу несколькими вещами. Для их определения мы заюзаем таблицу признаков cms.

1. Заголовки

Заголовки, это служебная инфа, которую отдает сервер перед тем как отдать код страницы. Я проверяю через curl -I site.ru

HTTP/1.1 200 OK
Server: nginx/1.2.6
Date: Tue, 12 Feb 2013 06:44:57 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Keep-Alive: timeout=10
X-Pingback: http://alexvolkov.ru/xmlrpc.php

Что-же тут такого палится. X-Pingback конечно же.

Убираем в файле functions.php нашей темы.

function remove_x_pingback($headers) {
    unset($headers['X-Pingback']);
    return $headers;
}
add_filter('wp_headers', 'remove_x_pingback');

Еще плагины для кеширования могут добавить информацию о времени жизни кеша и подписаться. Решается по аналогии.

2. Шапка

Шапка — это все, что между тегами <head></head>.

Пути до тем, цссов и js отдельно будут рассмотрены в следующем разделе. Тут про мета-теги типа генератор и другую фигню, которую всякие плуги суют.

Пример шапки с моего блога

<head>
	<meta charset="UTF-8" />
	<meta name="verify-v1" content="by1MB81PjkQUdjinZJQn73aCwjaV5erxwsvtTP7pTNE=" />
	<meta name="viewport" content="width=device-width" />
	<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"/>
	<meta name="keywords" content="cms,detection,Web" />	
	<link href="data:image/x-icon;base64,iVBORw0KGgoAAAANSUhEUgAAABAAAAAQCAIAAACQkWg2AAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJbWFnZVJlYWR5ccllPAAAAOBJREFUeNrkUbsKwkAQ3Fs0EbVTP05JpSD4iEUKBb9AO/ErDJJgI5bi72gv8e44Hc9Hk1Owdthib4eZG3ZFzfOISFgYY9Az89WCXBAQgJPGgC8XixidpYSBzwyLvOA+lUqtk2TQ75+yDDUMw1UcX5RyCgqYwvuw38+Xy9PxKJhni8VkNHrkdARDpEaphKbTamkpUe1mE08MQeWL30qYPTJorekL4FQhQgYI4N0NAjRRr1f58AnVfb9KtNtsxjY3MI2ibZpCACoveK3VLv65Vrsfz17GfYefD0e/4C8FNwEGAIXxbCAjm60LAAAAAElFTkSuQmCC" rel="icon" type="image/x-icon" />
	<link rel="apple-touch-icon" href="/wp-content/themes/somerandomdude/images/apple-touch-icon.png"/>

	<title>Linux, кодинг, митолл и прочая хрень :)</title>

	<link rel="alternate" type="application/rss+xml" title="RSS 2.0" href="/feed/" />
	<link rel="pingback" href="/xmlrpc.php" />

	<link rel="alternate" type="application/rss+xml" title="Linux, кодинг, митолл и прочая хрень 🙂 &raquo; Лента" href="http://alexvolkov.ru/feed" />
<link rel="alternate" type="application/rss+xml" title="Linux, кодинг, митолл и прочая хрень 🙂 &raquo; Лента комментариев" href="http://alexvolkov.ru/comments/feed" />
<link rel='stylesheet' id='frank_srd_stylesheet-css'  href='http://alexvolkov.ru/wp-content/themes/somerandomdude/style.css' type='text/css' media='all' />
<!--[if IE]>
<link rel='stylesheet' id='frank_srd_stylesheet_ie-css'  href='http://alexvolkov.ru/wp-content/themes/somerandomdude/ie.css' type='text/css' media='all' />
<![endif]-->
<!--[if IE 7]>
<link rel='stylesheet' id='frank_srd_stylesheet_ie7-css'  href='http://alexvolkov.ru/wp-content/themes/somerandomdude/ie7.css' type='text/css' media='all' />
<![endif]-->
<link rel='stylesheet' id='schema-style-css'  href='http://alexvolkov.ru/wp-content/plugins/schema-creator/lib/css/schema-style.css' type='text/css' media='all' />
<script type='text/javascript' src='http://alexvolkov.ru/wp-includes/js/jquery/jquery.js'></script>
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="http://alexvolkov.ru/xmlrpc.php?rsd" />
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="http://alexvolkov.ru/wp-includes/wlwmanifest.xml" /> 
<meta name="generator" content="WordPress 3.5.1" />

<!-- All in One SEO Pack 1.6.15.3 by Michael Torbert of Semper Fi Web Design[976,1117] -->
<link rel="canonical" href="http://alexvolkov.ru/" />
<!-- /all in one seo pack -->
<link rel="stylesheet" href="http://dtmvdvtzf8rz0.cloudfront.net/static/css-text/plain.css?version=2.4" />
<!--[if lt IE 9]><script src="http://alexvolkov.ru/wp-content/themes/somerandomdude/javascripts/html5.js"></script><![endif]--><!--[if lt IE 7]><script src="http://alexvolkov.ru/wp-content/themes/somerandomdude/javascripts/ie7.js"></script><![endif]--><style type="text/css" id="custom-background-css">
body.custom-background { background-color: #fffefe; }
</style>

	<!--[if lte IE 8]>
	<script src="http://html5shim.googlecode.com/svn/trunk/html5.js" type="text/javascript"></script>
	<![endif]-->

	<!--[if lt IE 7]>
	<script src="http://ie7-js.googlecode.com/svn/version/2.1(beta4)/IE7.js"></script>
	<![endif]-->

</head>

Тут мы видим адреса фидов, пингбеков, сеопак засунул свою инфу. Плагины вообще любят в шапку свой хлам насовать.

Так вообще вп сует еще манифесты, адреса предыдущего и следущего поста, рсд.

Есть радикальный способ убрать все это дело — удалить вызов функции wp_head() в шапке. Тогда ничего не будет автоматом соваться. На подопытном сайте я так и сделал.

Или надо по одному выключать все, что свидетельствует о вп. Делается через хуки в файле functions.php выбранной темы:

remove_action( 'wp_head', 'wp_generator'); 
remove_action( 'wp_head', 'rsd_link' );
remove_action( 'wp_head', 'feed_links', 2 );
remove_action( 'wp_head', 'wlwmanifest_link' );
remove_action( 'wp_head', 'index_rel_link' );
remove_action( 'wp_head', 'adjacent_posts_rel_link', 10, 0 );
remove_action('wp_head', 'previous_post_rel_link', 10, 0);
remove_action( 'wp_head', 'start_post_rel_link', 10, 0 );
remove_action( 'wp_head', 'feed_links_extra', 3 );
remove_action('wp_head', '_ak_framework_meta_tags');

Для ленивых есть плагин WP Head Section Cleaner, сам все подчистит.

3. Пути

Самая мякотка. Именно по путям можно однозначно сказать, что за цмс именно используется. С путями не так все просто — их нельзя взять и поменять без проблем с последующим обновлением.  Поэтому действовать нужно более обходительно.

Папок у вордпресса 3 — wp-admin, wp-includes, wp-content. Только wp-content позволяет менять свое имя. С него и начнем.

Файл wp-config.php

define('WP_CONTENT_FOLDERNAME', 'bitrix');
define('WP_CONTENT_DIR', ABSPATH . WP_CONTENT_FOLDERNAME );
define('WP_CONTENT_URL', 'http://battmart.ru/'.WP_CONTENT_FOLDERNAME);
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/plugins' );
define('WP_PLUGIN_URL', WP_CONTENT_URL.'/plugins');
define( 'UPLOADS', '/upload/' );
define('TEMPLATEPATH', 'bitrix/battmart');

Тут конфиг с баттмарта, пути типа под битрикс сделаны.

Пояснения по коду

• WP_CONTENT_FOLDERNAME — имя папки wp-content
• WP_CONTENT_DIR — путь на сервере до этой папки
• WP_CONTENT_URL — путь из адресной строки
• WP_PLUGIN_DIR — путь до папки с плагинами
• WP_PLUGIN_URL — тоже, но из браузера
• UPLOADS — папка куда картинки грузятся
• TEMPLATEPATH — путь до текущей темы

С templatepath небольшая засада, он прибавляется к выводу функции theme_root() и theme_root_uri(), т.е. поменять через templatepath можно только конец пути.

Чтобы сделать путь до темы полностью произвольным, нужно добавить в functions.php это

function change_theme_root_uri()
{
    // возвращает новый урл до темы
    return  get_bloginfo('wpurl') . '/bitrix/templates';
}

function change_theme_root()
{
    // возвращает путь до темы
    return '/bitrix/templates';
}

add_filter('theme_root_uri', 'change_theme_root_uri');
add_filter('theme_root', 'change_theme_root');

Также можно прописать новые пути до css и js, используя хуки script_loader_src и style_loader_src.

Теперь черед папки wp-admin. Встроенными средствами ее не переименовать. Был раньше плагин, stealth-login, но пропал куда-то. Однако один неизвестный вебмастер предусмотрительно его сохранил. Плагин прячет wp-login.php, переименовывает путь до wp-admin/

Хотя плагин старый, но на последнем вордпрессе заработал. Скрин настроек с баттмарта

Однако, есть один момент с этим плугом. Он не запрещает пути, он вешает редиректы на них.  А нам нужно получить 404 по всем известным путям.

Я решил не заморачиваться и просто закрыл доступ на все системные папки для всех айпи кроме моего.

RewriteCond %{REQUEST_URI} /wp-login\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-admin/$ [OR]
RewriteCond %{REQUEST_URI} /wp-includes/$
RewriteCond %{REMOTE_HOST} !^31\.44\.58\.*
RewriteRule $ /http://battmart.ru [R=404,L]

Так вот отрубаются все пути.

4. Внешние файлы

Второй по обьему любви пункт. Фенька в том, что окромя папок в корне также лежат файлы, которые при запросе извне дают ответ, отличный от 404. Именно этот ответ и выдает нас. Также отрубаем все в htaccess

RewriteCond %{REQUEST_URI} /wp-login\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-admin/$ [OR]
RewriteCond %{REQUEST_URI} /wp-activate\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-app\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-blog-header\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-comments-post\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-config-sample\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-config\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-cron\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-links-opml\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-load\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-mail\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-settings\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-signup\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-trackback\.php$ [OR]
RewriteCond %{REQUEST_URI} /xmlrpc\.php$ [OR]
RewriteCond %{REQUEST_URI} /wp-includes/$
RewriteCond %{REMOTE_HOST} !^31\.44\.58\.*
RewriteRule $ /http://battmart.ru [R=404,L]

Небольшое предостережение. Такое тотальное запрещение подключения файлов может вызвать проблемы что кому-то просто не будет ничего показываться. Хотя подключение файлов идет через include внутри вордпресса, так что все должно быть нормально.

Я пока не испытывал никаких проблем с этим, но если будут то отпишите в коментах.

Это были системные файлы. Есть еще файлы, которые боты поисковых систем запрашивает сразу. Это роботс и, если есть, сайтмап.

В роботсе обычно закрывают админку от индексирования. Поэтому нужно удалять все такие строки.

В сайтмапе обычно вставляется коммент о том, какой плуг сгенерил ее. Какбы тоже признак, но про это в своем пункте.

Еще один признак вордпресса, самый наверно глупый — это присутствие в корне файлов readme.html и readme.txt ))

5. Плагины

Плуги палятся тем, что любят вставить свой коммент или цсску или яваскрипт в код. Тут какбы нет общих методик для всех плагинов. Нужно просто смотреть код и уже действовать по обстановке. Имейте ввиду, что некоторые плуги грузятся только на странице поста или категории.

Я просто не использую плуги.

6. Код

В коде почти во всех темах внизу расположен копирайт вордпресса. Кроме того, у вп есть свои имена классов css. Все это решается если самому верстать тему. Там и копирайтов не будет и классы для цсс будут иметь свои имена.

Вот и все, что я делал чтобы скрыть вордпресс. Если найдете какую лазейку, которая позволит вам идентифицировать данный сайтик как вп, черканите плз в коменты

UPD1

Данной функцией можно удалить сразу все комментарии в шаблоне.

function callback($buffer) {
	$buffer = preg_replace('/<!--(.|\s)*?-->/', '', $buffer);
	return $buffer;
}
function buffer_start() {
	ob_start("callback");
}
function buffer_end() {
	ob_end_flush();
}
add_action('get_header', 'buffer_start');
add_action('wp_footer', 'buffer_end');

Полезные ссылочки

• http://2ip.ru/cms/ — палит как раз по служебным файлам в корне
• http://guess.scritch.org/ — какой-то свой алгоритм для определения цмс, судя по всему подсчитывает число различных путей и сверяет их с таблицей, после чего отдает результат в процентах.
• rds bar — палит по коду, для русских cms признаки дополнены
• wappalyzer — также палит по коду, но число всяких систем там больше.