[WordPress] méthode pour supprimer le numéro de version
Dans le code des pages d'un site WordPress, il y a le numéro de version de WordPress. Cette petite indication peut être lue par des personnes mal intentionnées. Si vous n'avez pas mis à jour WordPress, ces personnes peuvent le savoir et tenter une attaque. Cette article explique comment cacher le numéro de version pour limiter les attaques.
Étape préliminaire
Dans la plupart des thèmes WordPress il y a une meta données dans le <head> des pages web qui indique le numéro de version. C'est insérer dans les thèmes à l'aide du code suivant:
{code type=php}<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />{/code}
Dans un premier, ça ne fait pas de mal de supprimer cette ligne. Mais ce n'est pas pour autant que le numéro de version est caché pour de bon. Il est toujours possible pour un hacker de connaître le numéro de version WordPress en regardant le contenu du flux RSS.
La bonne méthode pour supprimer le numéro de version
Afin de s'assurer que le flux RSS n'affiche plus le numéro de version, il faut insérer le code suivant dans le fichier functions.php du thème WordPress que vous utilisez:
{code type=php}function remove_wordpress_version() {
return '';
}
add_filter('the_generator', 'remove_wordpress_version');{/code}
Ce code envoie une chaîne de caractère vide à la place du numéro de version. Toutefois, il est toujours possible de connaître le numéro de version car WordPress ajoute le numéro de version lors des appels aux fichiers javascript et CSS à l'aide de la variable "?ver=3.3.1".
Supprimer la variable "?ver=3.3.1" des fichiers JS et CSS
Cet attribut est utile car il permet de modifier virtuellement l'URL des fichiers javascript lors d'une mise à jour WordPress. Cela oblige les navigateurs à lire à nouveau le code javascript pour éviter qu'il reste dans le cache. Toutefois, ça donne un indice pour savoir le numéro de version de WordPress qui est utilisé. Pour enlever cette valeur, il faut ajouter le code suivant dans le fichier functions.php du thème WordPress utilisé:
{code type=php}function _remove_script_version( $src ){
$parts = explode( '?', $src );
return $parts[0];
}
add_filter( 'script_loader_src', '_remove_script_version', 15, 1 );
add_filter( 'style_loader_src', '_remove_script_version', 15, 1 );{/code}
A savoir: ces petites astuces seules ne permettent pas de protéger à 100% un site WordPress. Il faut rester vigilant dans l'utilisation de cet outil et penser à faire les mises à jours de sécurité.