Jak szybko i skutecznie ukryć wersje zainstalowanego WordPressa?

WordPress domyślnie pokazuje numer wersji w źródle strony dopisując go w dodatkowych znacznikach i zmiennych na końcu ścieżek do plików JS i CSS.

Pokaże na przykładzie strony seoparty.net w jakich miejscach widoczna jest wersja skryptu:

1. Dodatkowy znacznik HTML <meta name="generator content="Wordpress x.x.x" />  w sekcji <head>:
2. jako zmienna ver=x.x.x na końcu ścieżki plików JS i CSS:
   
3. ponadto jeśli mamy włączone kanały RSS (domyślnie są włączone), to informacje o wersji znajdą się również w nich, na stronach:
   1. naszblog.pl/feed/
   2. naszblog.pl/feed/rss/
   3. naszblog.pl/feed/rss2/
   4. naszblog.pl/feed/rdf/
   5. naszblog.pl/feed/atom/

   np.:
   

Istnieje wiele softów, skryptów i pluginów do wykrywania CMS’a i jego wersji. W przypadku WordPressa polecam wtyczkę WordPress Theme and Plugins Detector do przeglądarki Chrome. Oprócz wersji WP pokazuje też wersję zainstalowanego motywu oraz listę pluginów, z których korzysta strona:

Fajną opcją w tym dodatku jest wykrywanie WP na stronach – jeśli wejdziemy na stronę używającą WordPressa to ikonka z logiem WP na liście wtyczek podświetli się na niebiesko 😉

Jak usunąć informację o używanej wersji skryptu WP?

Ręczne usuwanie informacji o wersji WP

Ze względu bezpieczeństwa dobrą praktyką jest ukrycie jej. Można to robić ręcznie, usuwając info o wersji z szablonu i tworząc dodatkową funkcję w pliku functions.php która ją usunie, jednak rozwiązanie to będzie działać do kolejnej aktualizacji szablonu – wyjątkiem są strony używające motywów potomnych (child theme) – o tym może kiedyś indziej 🙂

Jeśli jednak ktoś bardzo chce zrobić to samemu, bez użycia wtyczek – może spróbować dopisać taką funkcję do pliku functions.php w katalogu z używanym motywem:

function remove_version_info() {
     return '';
}
add_filter('the_generator', 'remove_version_info');
remove_action('wp_head', 'wp_generator');

pierwsza funkcja pozbywa się numeru wersji zastepując go, a kolejna usuwa znacznik XHTML z informacją o generatorze.

Usuwanie informacji o wersji WP za pomocą wtyczki

Drugie rozwiązanie to skorzystanie z wtyczki, których do WP są miliony. Jest wiele wtyczek pozwalających na zastąpienie wersji WP np. losowymi numerami, jak również całkowite pozbycie się niepotrzebnych wzmianek o wersji. Kiedyś używałem do tego WP Better Security (aktualnie pod nazwą  iThemes Security), obecnie na stronach, którymi się zajmuje korzystam z wtyczki o nazwie WP Hide & Security Enhancer, która ma sporo opcji pozwalających na ukrycie nie tylko wersji WordPressa, ale również struktury katalogów, klas itd.

dodatkowo w zakładce Headers:

W ten sposób szybko, prosto i na długi czas można się pozbyć informacji o wersji WP nie martwiąc się o to, co będzie po aktualizacji templatki. Należy przy tym pamiętać, że ukrywanie wersji to tylko dodatkowe zabezpieczenia i nie zwalnia nas z tego, abyśmy nie zapominali na bieżąco aktualizować WordPressa 😉