[WordPress] méthode pour supprimer le numéro de version

Publié le 10/03/2012 à 21h12

Dans le code des pages d'un site WordPress, il y a le numéro de version de WordPress. Cette petite indication peut être lue par des personnes mal intentionnées. Si vous n'avez pas mis à jour WordPress, ces personnes peuvent le savoir et tenter une attaque. Cette article explique comment cacher le numéro de version pour limiter les attaques.

Étape préliminaire

Dans la plupart des thèmes WordPress il y a une meta données dans le <head> des pages web qui indique le numéro de version. C'est insérer dans les thèmes à l'aide du code suivant:
{code type=php}<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />{/code}
Dans un premier, ça ne fait pas de mal de supprimer cette ligne. Mais ce n'est pas pour autant que le numéro de version est caché pour de bon. Il est toujours possible pour un hacker de connaître le numéro de version WordPress en regardant le contenu du flux RSS.

La bonne méthode pour supprimer le numéro de version

Afin de s'assurer que le flux RSS n'affiche plus le numéro de version, il faut insérer le code suivant dans le fichier functions.php du thème WordPress que vous utilisez:
{code type=php}function remove_wordpress_version() {
return '';
}
add_filter('the_generator', 'remove_wordpress_version');{/code}
Ce code envoie une chaîne de caractère vide à la place du numéro de version. Toutefois, il est toujours possible de connaître le numéro de version car WordPress ajoute le numéro de version lors des appels aux fichiers javascript et CSS à l'aide de la variable "?ver=3.3.1".

Supprimer la variable "?ver=3.3.1" des fichiers JS et CSS

Cet attribut est utile car il permet de modifier virtuellement l'URL des fichiers javascript lors d'une mise à jour WordPress. Cela oblige les navigateurs à lire à nouveau le code javascript pour éviter qu'il reste dans le cache. Toutefois, ça donne un indice pour savoir le numéro de version de WordPress qui est utilisé. Pour enlever cette valeur, il faut ajouter le code suivant dans le fichier functions.php du thème WordPress utilisé:
{code type=php}function _remove_script_version( $src ){
$parts = explode( '?', $src );
return $parts[0];
}
add_filter( 'script_loader_src', '_remove_script_version', 15, 1 );
add_filter( 'style_loader_src', '_remove_script_version', 15, 1 );{/code}
A savoir: ces petites astuces seules ne permettent pas de protéger à 100% un site WordPress. Il faut rester vigilant dans l'utilisation de cet outil et penser à faire les mises à jours de sécurité.

Auteur: Tony Archambeau

Développeur web passionné par le référencement et l'ergonomie d'utilisation des sites et applications web, j'édite plusieurs sites web dont infowebmaster.fr.

Commentaires »

Trackbacks

Les bonnes pratiques de sécurité sur WordPress – Tony Archambeau [site]
Le 5 septembre 2017

[…] un tutoriel expliquant comment masquer le numéro de version sur WordPress. Attention, cette technique est bancale puisqu’il est toujours possible pour un individu mal […]