wlkns/wordpress-security-plugin

# WLKNS 安全 一键强化 WordPress：禁用高风险功能、限制登录、利用 honeypot 诱捕 bot 并拦截违规 IP —— 所有操作均可通过一个 **Security** 菜单完成。 | | | |---|---| | **Contributors** | wlkns | | **Tags** | security, brute-force, login, honeypot, hardening | | **Requires at least** | WordPress 5.8 | | **Tested up to** | WordPress 6.5 | | **Requires PHP** | 7.4 | | **Stable tag** | 1.0.1 | | **License** | [GPLv2 或更高版本](https://www.gnu.org/licenses/gpl-2.0.html) | ## 描述 WLKNS Security 是一款轻量级、无冗余的强化插件。激活后，它会自动开启一组合理的默认设置来关闭常见的攻击面，并提供一个统一的 **Security** 管理菜单供您单独开启或关闭各项防护。 每项功能都是可选的，并且可以独立控制。插件不会进行任何外部通信请求，不包含广告，也没有高级版升级推销。 ### 包含的防护功能 - **禁用插件安装** —— 隐藏并拦截“Add New”/上传插件界面（激活已安装的插件仍然有效）。 - **禁用主题安装** —— 对主题应用相同的锁定措施；切换已安装的主题仍然有效。 - **禁用评论** —— 全站关闭评论并移除评论 UI。 - **禁用密码重置** —— 阻止密码重置并隐藏“Lost your password?”链接。 - **拦截未授权的 REST API** —— 对未登录的 REST 请求返回 401，同时不影响区块编辑器和已登录用户。 - **禁用 XML-RPC** —— 关闭 `/xmlrpc.php` 和 pingbacks，这是一种常见的 brute-force/DDoS 放大攻击向量。 - **禁用应用程序密码** —— 移除您可能未使用到的 API 认证 token。 - **禁用文件编辑** —— 关闭内置的主题/插件代码编辑器。 - **隐藏 WordPress 版本** —— 移除 generator 标签并清除静态资源 URL 中的版本查询字符串。 - **登录强化** —— 统一掩盖登录错误信息，并拦截 `?author=N` 和 REST 用户枚举。 - **登录尝试限制** —— 在登录失败次数过多后（可配置阈值和锁定时长）临时封禁该 IP。 - **登录邮件通知** —— 当任何用户登录时，向指定的管理员发送邮件，包含用户名、角色、源 IP 和时间。默认关闭；选择收件人即可启用。 - **Honeypot** —— 封禁任何反复请求固定 trap 路径（如 `/.env`、`/wp-config.php`、`/.git`，正常访客绝不会请求这些路径）的 IP。 被封锁的 IP 会存储在它们独立的专属数据表中，并可通过专用的 **Blocked IPs** 界面进行管理，您可以在此查看、解封或手动添加地址。 ## 安装说明 1. 将 `wlkns-security` 文件夹上传到 `/wp-content/plugins/`，或者通过 WordPress 的 Plugins 界面进行安装。 2. 通过 **Plugins** 界面激活插件。 3. 进入新增的 **Security** 菜单查看并调整防护设置。所有功能默认处于开启状态。 ## 常见问题 ### 禁用 REST API 会导致区块编辑器崩溃吗？ 不会。只有未登录的请求会被拦截。已登录的用户（包括区块编辑器）会继续正常工作。 ### 我被登录限制功能锁在外面了，该怎么办？ 打开 **Security → Blocked IPs** 界面并移除您的 IP，或者直接从 `wp_wlkns_wws_blocked_ips` 表中删除相关行。 ### Honeypot 能捕获所有恶意请求吗？ 它只能捕获到达 WordPress/PHP 的请求。由您的 Web 服务器直接提供服务的文件（或在该层被拦截的请求）永远不会触发插件，因此请将其与合理的 Web 服务器配置结合使用。 ### 插件会存储任何个人数据吗？ 它将拦截的 IP 地址（以及拦截原因和时间）存储在自定义数据表中以执行封锁。解除封锁会删除该行数据；卸载插件则会删除该数据表。 ## 截图 1. 包含所有强化开关的 Security 设置界面。 2. Blocked IPs 界面 —— 可以查看、解封或手动添加地址。 ## 更新日志 ### 1.0.0 - 初始版本。 ## 升级提示 ### 1.0.0 初始版本。

标签：ffuf, GitHub Advanced Security, Web安全, WordPress插件, 安全加固, 暴力破解防护, 蓝队分析, 蜜罐, 证书利用, 防爆破