Поиск по сайту

На многих сайтах и блогах, где пишут о безопасности Wordpress, часто советуют скрывать версию, потому как злоумышленники, зная какой версией вы пользуетесь, знают какие уязвимости присутствуют в вашей CMS. Узнать версию очень просто. Она по умолчанию выводится через мета-тег generator. Просто откройте исходный код страницы любого блога (сайта) на Wordpress и увидете этот тег в заголовке страницы (в теге <header>), если бережный администратор до этого не спрятал его.

Раньше было достаточно удалить строку

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

в файле темы header.php. Сейчас же умные разработчики выводят тег через стандартные функции, так что приходится искать другие способы решения вопроса.

Я заинтересовался этим, и походу поисков придумал небольшой хак. Назовём его “Дезинформация злоумышленников“. В этом хаке всего 2 шага:

  1. Запрещаем вывод мета-тега в файле темы functions.php. Как правило в каждой теме wordpress есть такой файлик, где прячутся все функции, необходимые для работы темы. В нем мы просто запрещаем вывод тега с помощью строки:
    remove_action('wp_head', 'wp_generator' );
  2. Теперь открываем файл header.php, который находится в папке вашей темы (/wp-content/themes/ваша_тема/header.php) и в заголовке (внутри тега <header>) впечатываем строку, что-то типа:
    <meta name="generator" content="Joomla" />

    Таким образом можно дезинформировать злоумышленников :)

Примерно то же самое можно провернуть, поставив ложный номер версии. Это можно сделать просто в файле version.php в папке wp-include. Тогда все вышеупомянутые действия не обязательны.

P.S. Что-то я зачастил писать посты на Wordpress тематику. Может, мне открыть свой Wordpress блог?

Постовой: Появился ещё один SEO-блог о зароботке. Там наверняка можно узнать, что такое цикл жизни домена.

Купить постовые на seoadvicer.ru можно в RotaPost и Блогуне. Ссылки в архивных записях можно купить через GoGetLinks.
В Интернете трудно найти что-то полезное? - Подпишись на RSS и проблем станет меньше.
Получать обновления на

9 комментариев к: Как убрать мета-тег generator в Wordpress

  1. Alsp
    08 Январь 2010 год, 11:01

    Сама идея конечно хорошая, но на джумлу менять не стоит – все равно видно что это вордпресс. А вот со сменой версии действительно неплохо

  2. Alex
    09 Январь 2010 год, 12:02

    Лудше вобще отказатся от бесплатного движка и шансов что вас взламают намного менше

  3. Виктор
    09 Январь 2010 год, 12:11

    Ну если и есть смысл менять, то тогда уж правильно заполнять джумловский вариант “генератора”.

  4. rxs
    09 Январь 2010 год, 01:27

    Установка ложного номера версии иногда приводит к неожиданным ошибкам в плагинах.

  5. Skovhow
    09 Январь 2010 год, 06:32

    Интересно… но вот на Джумлу менять точно не надо. Если только тебе дизайнер делал шаблон, то ещё можно поменять… а если переделанный паблик шаблон – то любой злоумышленник поймёт и без исходного кода, какая у тебя CMS.

    P.s. Поправь в записи “Дезинформация злоумыленников“

  6. SeoAdvicer
    09 Январь 2010 год, 09:57

    @Alex: Такая схема не всем по карману. Но, конечно, это намного лучше.
    @Виктор: Joomla привел ради примера. На самом деле я не проверял, как правильно он заполняется для Джумлы :)
    @rxs: Нужно проверять в каждом конкретном случае. Я думаю, что далеко не все плагины зависят от номера версии.
    @Skovhow: спасибо, поправил :)

  7. Kasyan Sergey
    11 Декабрь 2010 год, 04:37

    generator еще используется в некоторых местах, таких как фиды, например.
    Вот еще пару дополнительных строчек, чтобы убрать его и оттуда
    remove_action( ‘rss2_head’, ‘the_generator’ );
    remove_action( ‘commentsrss2_head’, ‘the_generator’ );
    remove_action( ‘rss_head’, ‘the_generator’ );
    remove_action( ‘rdf_header’, ‘the_generator’ );
    remove_action( ‘atom_head’, ‘the_generator’ );
    remove_action( ‘comments_atom_head’, ‘the_generator’ );
    remove_action( ‘opml_head’, ‘the_generator’ );
    remove_action( ‘app_head’, ‘the_generator’ );

    это работает только для версий >= 3.0

  8. KyLU
    29 Январь 2011 год, 12:00

    интересно, но кто захочет и так узнать версию :)

  9. iDeny
    04 Март 2011 год, 01:14

    @KyLU: да, но так мы усложняем злоумышленнику задачу.

Комментарии через RSS · Трэкбеки URI

Оставить комментарий

Имя *

email (не публикуется) *

Сайт

Я не робот *

© iDeny, 2009 - 2011. Главная, Спонсоры, Карта сайта.

При копировании материалов гиперссылка на сайт обязательна.