Убираем meta name=’generator’ в WordPress 3.xx

Продолжая тему безопасности движка Вашего сайта, сегодня бы хотел поговорить о CMS WordPress.Первая статья, посвященная этой теме, находится здесь, где я рассматривал Joomla 1.5.

Там я писал о том, как будучи зная версию движка, на котором построен сайт, злоумышленник может знать баги системы и с помощью этого взломать сайт.

Чтобы люди не знали версию движка, нужно удалить  строку, где встречаются такие слова «meta name=’generator’. Если для Joomla это делается очень легко, то для WordPress немножко сложнее. В свое время я искал, как же убрать эту строчку из WordPress, информации не очень много, а если она есть, то раскрывают эту тему как-то не полностью, пришлось самому додумывать. Кстати, на момент написания данного поста, ситуация была по-прежнему такая же, не дописывают до конца. Хотя это очень сильно зависит от версии wordpress’а.

Чтобы удалить версию вашего wordpress’а из кода, нужно сделать следующие шаги:

1. Идем в файл «functions.php» вашей темы блога. Там вставляем следующую строчку (можно в конце кода, чтобы не забыть куда вставляем, но перед тегом «?>»):

remove_action( 'wp_head', 'wp_generator' );

Сохраняем файл.

2. Далее идем в файл «header.php» вашей темы блога, там находим строку:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Из нее удаляем эту часть:

<?php bloginfo('version'); ?>

Должно остаться только это:

<meta name="generator" content="WordPress" />

Все, сохраняем файл, идем на наш блог, обновляем страничку, смотрим код и видим, что больше нигде не отображается версия WordPress. Все счастливы:)!

Конечно же, если хакер, задался целью взломать сайт, и если он очень грамотный, возможно он и взломает, т.к. нет 100% защиты, но не зная версию движка сайта, ему все равно придется попотеть, будем надеяться, что у нашего злоумышленника мало терпения:)!

Если у Вас остались вопросы, пишите в комментариях, всегда отвечу и постараюсь помочь.

Удачи!

Одна мысль про “Убираем meta name=’generator’ в WordPress 3.xx

  1. Здравствуйте! Однако в последних версиях WordPress почти все мета-теги выводятся не через файл шаблона, а через функцию wp_head и поэтому прямо удалить лишний тег нельзя. Удалять вызов самой функции wp_head не рекомендую, некоторые популярные плагины из-за этого перестанут у вас работать.

  2. Удаление версии движка позволяет немного усложнить задачу взлома.
    Если стоит старая, то уже известны «дыры» в безопасности и как через них получить доступ.
    Некоторые профессиональные пользователи удачно шутят — устанавливают несуществующую версию (которая еще не вышла), тем самым усложняя процесс взлома для «черных» умельцев

  3. Все это, конечно, хорошо, но достаточно просто заглянуть в html код, как сразу станет понятно по словам «wp-content», что используется WordPress.

  4. Благодарю, но ваша статья уже не актуальна, т.к. в файле header.php в версии 3.8 нет строчки «meta name…» Следовательно ничего нет. А в коде отображение сохранено.

    • Я согласен с тобой =) в коде есть тема движка, я это не скрываю, написано, что wordpress — тоже не скрываю, хотя мог. Скрыта только версия wordpressa, чтобы не знали, т.к. под каждую версию есть свои уязвимости, хотя пытливый все равно найдет , что ищет, но просто будет немного сложнее — этого только я добивался 😉 Хотя я могу и убрать упоминания, где встречается слово «wordpress», уже просто не стал =)

  5. Да движок легко вычилисть если просмотреть коды страниы и пути файлов(к примеру рисунков).

  6. у меня сейчас 8 сайтов на ВП. НИ В ОДНОМ нету строчку в хидере. тупо копипастю
    remove_action( ‘wp_head’, ‘wp_generator’ );
    и забывая про строку generator =)))

    • Не может быть такого =-O я даже в других готовых шаблонах видел эту строку. Нет, после добавления кода в файл «Functions.php», там не появится. Два варианта — либо попробуй по поиску в файле найти «generator», либо только вставь код в файл функций, может шаблон так написан…но первый раз такое слышу %)

  7. =) это верно, но не все сразу овновляются, есть блоги, которые еще на старых версиях))

  8. Интересно только одно, что word press обновляеться прямо с панели управления! Думаю злоумышленик не сильно будет гадать какая версия на сайте)))

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.