[ad_1]
wenn man sich da wie man möchte durch alle Pluginordner durchklicken kann
Das kann man auch nicht, es sei denn, der Webserver ist falsch konfiguriert. Das ist kein WordPress-Problem.
Wenn du Cache- und Optimierungs-Plugins wie z.B. Autoptimize verwendest, wird in den Entwicklertools des Browsers nicht direkt ersichtlich, welche Plugins und welches Theme du verwendest. Zumindest bei Autoptimize lässt sich die Zusammenfassung und Minimierung von JavaScript- und CSS-Dateien aber durch einen GET-Parameter ausschalten.
Mitunter schaue ich z.B. schon mal, ob bei WordPress-Installationen zu denen hier ein Problem geschilder wird, die CSS-Datei eines Standard-Themes („Twenty …“) vorhanden ist (sowas wie ) – daran kann ich dann erkennen, ob WordPress überhaupt in einem bestimmten Pfad installiert wurde und das Theme noch vorhanden ist – mehr aber auch nicht. Ein Directory-Listing sollte bereits serverseitig abgeschaltet sein. Zusätzlich enthalten viele WordPress-Unterverzeichnisse eine index.php, die nur einen Kommentar enthalten, um auf diese Weise ein Directory-Listing auch dann auszuschließen, wenn die Einstellung nicht serverseitig vorgenommen wurde. Ein Fingerprinting wird damit zumindest erschwert.
Security through Obscurity, also Sicherheitsmaßnahmen durch Verschleierung, sind meistens wenig wirksam, auch wenn sie den Aufwand für einen Angriff geringfügig erhöhen. Es wäre besser, wenn du die Zeit für regelmäßige Updates einsetzt. Wie du WordPress weiter absichern kannst, wird in diesem Beitrag recht gut zusammengefasst: WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website.