andrewbakercloudscale/cloudscale-cyber-devtools

# CloudScale Cyber 与 Devtools    **AI 驱动的 WordPress 安全审计、一键加固以及完整的开发者工具包 —— 免费、零依赖、一切都在您的服务器上运行。** ## 安全功能 ### AI 网络审计 该插件的核心功能。连接到 **Anthropic Claude** (claude-sonnet-4-6, claude-opus-4-7) 或 **Google Gemini** (gemini-2.0-flash, gemini-2.5-pro)，在 60 秒内提供带有评分和优先级的安全报告 —— 这种分析通常需要花费数百美元聘请顾问才能获得。 - **标准扫描** —— 分析 WordPress 配置、活动插件、用户角色、文件权限、wp-config.php 加固常量以及调试设置 - **深度扫描** —— 在标准扫描的基础上，增加实时 HTTP 探测、DNS 检查、TLS 质量、PHP 生命周期终止检测、目录列表检查、静态插件代码分析以及 AI 驱动的代码分类 - 发现结果按 **严重 / 高 / 中 / 低 / 良好** 进行评分，并提供优先修复步骤 - **扫描历史** —— 自动保存最近 10 次结果；点击任何条目即可重新加载完整报告 - **计划扫描** —— 每日或每周的后台扫描，支持电子邮件和 ntfy.sh 推送通知 - **AI 代码分类** —— 在主 AI 分析之前，将静态发现结果预分类为已确认 / 误报 / 需要上下文 ### 深度扫描 —— 检查内容 | 类别 | 详情 | |---|---| | HTTP 安全标头 | CSP、HSTS、X-Frame-Options、X-Content-Type-Options、Referrer-Policy 的存在性和质量 | | CSP 质量 | 标记 `unsafe-inline`、`unsafe-eval`、通配符来源、缺少 `default-src` | | HSTS 质量 | 验证 `max-age ≥ 31536000` 和 `includeSubDomains` | | 电子邮件 DNS | SPF 严格性（`~all` 与 `-all`）、DMARC 策略强度（标记 `p=none`）、DKIM 选择器探测 —— 均以存在 MX 记录为前提 | | TLS | 弱密码/协议检测 | | PHP EOL | 标记已终止生命周期的 PHP 版本 | | 自动更新 | 检测 `AUTOMATIC_UPDATER_DISABLED` 和 `WP_AUTO_UPDATE_CORE=false` | | display_errors | 标记生产环境中的 PHP 错误暴露 | | 不活跃插件 | 列出仍存在于磁盘上的已停用插件 | | Server 标头泄露 | 检测 `Server:` 响应标头中的版本字符串 | | 目录列表 | 检查开放的目录浏览 | ### 快速修复 —— 一键加固 | 修复 | 作用 | |---|---| | 安全标头 | 启用 X-Content-Type-Options、X-Frame-Options、Referrer-Policy、Permissions-Policy | | 禁用 Pingbacks | 关闭默认的 ping/trackback 状态 | | 禁用注册 | 关闭开放的用户注册 | | 禁用应用密码 | 阻止 REST API 应用程序密码 | | 隐藏 WP 版本 | 移除 generator meta 标签并去除 `?ver=` 查询字符串 | | 关闭评论 | 默认禁用新文章的评论功能 | | wp-config.php 权限 | 将 wp-config.php 的权限修改为 0600 | | 移动 debug.log | 将 debug.log 重新定位到 Web 根目录之外；在 wp-config.php 中重写 WP_DEBUG_LOG | ### CSP 构建器 专用于构建和管理 Content Security Policy 的面板，且不会破坏您的站点： - 启用/禁用切换开关，支持 **强制执行** 或 **仅报告**（测试）模式 - 服务复选框：Google Analytics、Google AdSense、Google Tag Manager、Cloudflare Insights、Facebook Pixel、Google reCAPTCHA、YouTube 嵌入、Vimeo 嵌入 - 用于未涵盖内容的自定义指令字段 - 保存前的实时标头预览 - **备份/回滚** —— 每次保存都会对先前的配置进行快照；一键回滚按钮（带有时间提示标签）可立即恢复配置 ### 登录安全 | 功能 | 详情 | |---|---| | **隐藏登录 URL** | 将 `/wp-login.php` 移至一个秘密的别名；对默认 URL 的直接请求将返回 404 —— 机器人永远找不到登录表单 | | **暴力破解防护** | 在 N 次尝试失败后按用户名锁定（默认：5 次尝试，锁定 5 分钟 —— 两者均可配置） | | **会话时长** | 使用自定义值覆盖 WordPress 默认的会话长度；自动设置持久性 cookie | | **双因素认证** | 电子邮件 OTP（6 位数字代码，10 分钟有效期）、通过 Google Authenticator / Authy / 1Password 的 TOTP（RFC 6238），或 Passkey | | **Passkeys (WebAuthn / FIDO2)** | Face ID、Touch ID、Windows Hello、YubiKey —— 私钥永远不会离开设备，设计上可抵抗网络钓鱼；测试按钮可在不注销的情况下验证每个密钥 | | **强制管理员使用 2FA** | 在配置 2FA 之前阻止对仪表板的访问；宽限登录允许次数可配置 | | **测试账号管理器** | 带有应用密码的临时订阅者账号，适用于 Playwright / CI 流水线；TTL 可配置且支持可选的一次性使用模式；在过期或首次登录时自动删除 | ### 服务器日志 用于 PHP 错误日志、WordPress 调试日志和 Web 服务器访问/错误日志的只读浏览器查看器： - 带有可用性指示器（可读 / 未找到 / 权限被拒绝 / 空）的来源选择器 - 实时搜索、严重性过滤器（紧急 → 调试）、可配置的行数 - 自动刷新尾部模式（30 秒间隔） - 自定义日志路径管理器 - 一键 PHP 错误日志设置 ## 开发者工具 ### 语法高亮代码块 - 由本地捆绑的 **highlight.js 11.11.1** 驱动 —— 零外部 CDN 请求 - 190 多种语言及自动检测 - **14 种配色主题**：Atom One、GitHub、Monokai、Nord、Dracula、Tokyo Night、VS 2015、VS Code、Stack Overflow、Night Owl、Gruvbox、Solarized、Panda、Shades of Purple - 深色/浅色切换（按浏览器存储在 localStorage 中）、行号、复制到剪贴板 - Gutenberg 块 (`cloudscale/code`) 和 `[cs_code]` 短代码 - 自动修复被 Gutenberg 分割成碎片的 INI/TOML 块 ### 代码块迁移器 批量将 `wp:code`、`wp:preformatted`、Code Syntax Block 和旧版短代码块转换为 CloudScale 格式。扫描 → 预览（并排差异对比） → 单个或全部迁移。 ### SQL 查询工具 从 wp-admin 执行只读的 `SELECT`、`SHOW`、`DESCRIBE`、`EXPLAIN` 查询。包含 14 个内置快速查询，涵盖健康诊断、内容摘要、冗余数据清理和 URL 迁移。所有写操作均被阻止；需要 `manage_options` 权限。 ### 社交预览诊断 URL 检查器、近期文章扫描、og:image 生成、Cloudflare 缓存清除集成、媒体库审计。 ### SMTP 邮件 使用经过身份验证的 SMTP 替换 PHP `mail()`。测试按钮、电子邮件日志、可配置的发件人/回复地址。 ### 性能监视器 可切换的叠加面板，跟踪每次页面加载的查询数量、HTTP 请求、PHP 错误、hooks、assets 和 transients。 ### 自定义 404 页面 带有**七款可玩的 canvas 迷你游戏**和每个游戏全站排行榜（前 10 名，通过 REST API 进行限速分数提交）的品牌 404 页面。完全独立于主题 —— 即使活动主题损坏也能正常工作。 | 游戏 | 控制 | |---|---| | 🏃 Runner | 空格键 / 点击 —— 跳过障碍物 | | 🚀 Jetpack | 空格键 / 点击 —— 向上推进，躲避墙壁 | | 🚗 Racer | 方向键 / 屏幕按钮 —— 躲避车流 | | ⛏ Miner | 方向键 / 屏幕按钮 —— 收集宝石 | | 🌌 Asteroids | 方向键 + 空格键 / 屏幕按钮 —— 射击陨石 | | 🐍 Snake | 方向键 / 屏幕按钮 —— 吃食物，别撞墙 | | 👾 Space Invaders | 方向键 + 空格键 / 屏幕上的 ◀ 开火 ▶ 按钮 —— 经典射击游戏 | 可从管理面板自定义强调色、背景和文本颜色。 ## AI 提供商设置 提供您自己的 API 密钥 —— 密钥存储在 `wp_options` 中，并且仅发送到提供商的 API 端点。 | 提供商 | 模型 | 费用 | |---|---|---| | Anthropic Claude | claude-sonnet-4-6, claude-opus-4-7 | 按需付费 | | Google Gemini | gemini-2.0-flash, gemini-2.5-pro | 提供免费额度 | ## 环境要求 - WordPress 6.0+ - PHP 7.4+ ## 安装说明 1. 从 [Releases](../../releases) 下载最新的 zip 包 2. 在 WordPress 管理后台：**插件 > 安装插件 > 上传插件** 3. 上传、安装并启用 4. 导航到 **工具 > Cyber and Devtools** ## 许可证 GPLv2 或更高版本。详见 [LICENSE](LICENSE)。 ## 作者 [Andrew Baker](https://andrewbaker.ninja/)

标签：AI安全审计, Anthropic Claude, CISA项目, ffuf, GPLv2, HTTP安全头, OpenVAS, Passkeys, PHP, SEO工具, SQL查询工具, TOTP, WordPress, 代码分析, 代码高亮, 凭证管理, 双因素认证, 威胁情报, 开发者工具, 批量代码迁移, 插件安全, 文件完整性监控, 网站加速, 网站性能监控, 网络安全, 隐私保护, 隐藏登录URL