Come nascondere la versione di WordPress in uso
In giro per la rete ci sono un sacco di spiritosi che per il semplice gusto di provare le loro abilità o per semplice e fanciullesco spirito si divertono a fare danni ai siti altrui e per farlo è importante che sappiano quale versione di WordPress è installata su un determinato sito dal momento che ogni versione ha sofferto di vulnerabilità note ed è facile trovare nel web tutorials che spiegano come sfruttarle, quindi uno dei passi da fare per rendere la vita un po’ più difficile a questi simpaticoni è nascondere la versione di WordPress in uso sul proprio sito: vediamo come si fa.
Per prima cosa tenere il sito aggiornato
Questo è un tormentone che si ripete fino alla nausea: dovete sempre aggiornare WordPress all’ultima versione disponibile..! In questo modo eviterete la maggior parte degli attacchi finché non saranno state trovate delle falle nella versione corrente, mentre se avete una versione più vecchia come bucarla lo sa anche il gatto di vostra cognata, quindi non appena la piattaforma WordPress viene aggiornata ad una nuova versione è salutare aggiornare subito il vostro sito facendo prima un backup come descritto in questo post, controllando la compatibilità di temi e plugins nelle rispettive specifiche ed in questo modo non avrete sulla coscienza delle possibili catastrofi e magari starete tranquilli fino al prossimo aggiornamento.
Rimuovere i files che dichiarano la versione di WordPress in uso
Ad ogni aggiornamento WordPress installa nella directory principale alcuni inutili e pericolosi files richiamabili via browser, inutili perché nessuno li legge e pericolosi perché vengono letti solo da chi vuol fare danni e sa che stanno li e sa che ci troverà alcune informazioni fondamentali come la versione di WordPress installata. Questi files sono: readme.html, LEGGIMI.txt, readme.txt, license.txt e licenza.html. Tutti questi documenti vanno eliminati e andranno eliminati tutte le volte che WordPress viene aggiornato in quanto ogni nuova versione porta con se una loro nuova versione. In pratica è come lasciare un biglietto sulla porta di casa con scritto: “la chiave è sotto lo zerbino..” ergo non appena finito di aggiornare WordPress accedete via FTP o da file manager del vostro pannello di controllo e cancellate questi files.
Ma non è finita qui..
Guardando il codice sorgente della pagina, il malintenzionato troverà subito: <meta name=”generator” content=”WordPress x.x.x” /> e parimenti, tutti i fogli di stile .css e gli script che non abbiano una propria versione autonoma riporteranno in coda la versione di WordPress in uso dichiarandola al mondo intero e questo deve essere evitato per le ragioni già citate, ma come fare a zittire WordPress che sembra tanto propenso a strombazzare allegramente a tutti come farsi bucare? Nel tempo si sono succedute varie soluzioni, l’uso di appositi plugin ormai non più supportati, la rimozione di una riga dal file header.php che non funziona con le ultime versioni di WordPress, l’unica strada praticabile e funzionante è l’inserimento di alcuni filtri nel file delle funzioni del tema ovvero il file functions.php, sembra facile ma bisogna tenere conto del fatto che functions.php è un file che fa parte del tema in uso e che aggiornando il tema o cambiandolo la modifica verrà persa, quindi è opportuno utilizzare un tema child come spiegato in questo post, in questo modo la modifica effettuata rimarrà attiva anche dopo avere aggiornato il tema, ovviamente se sceglierete un altro tema dovrete creare nuovamente il child-theme con il file functions.php che contiene le istruzioni specifiche. Quindi una volta creato il child-theme dovrete creare con un editor di testo un nuovo file functions.php che andrete a caricare nella cartella del child-theme e che conterrà il seguente codice:
<?php
// Remove WP version
function my_remove_version_info() {
return '';
}
add_filter('the_generator', 'my_remove_version_info');
// Remove css and script version
function remove_css_js_ver( $src ) {
if( strpos( $src, '?ver=' ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'remove_css_js_ver', 9999 );
add_filter( 'script_loader_src', 'remove_css_js_ver', 9999 );
?>
fatto questo, salvate il file ed andate nuovamente a vedere il codice sorgente della vostra home page e vedrete che tutti i riferimenti alla versione di WordPress in uso sono scomparsi ed avrete fatto un ulteriore passo in avanti per rendere il vostro sito più sicuro e dormire sonni relativamente tranquilli.
Ovviamente se desiderate farlo ma siete troppo pigri o non sapete come fare potete sempre contattarmi attraverso la pagina dei contatti o per telefono e potrò farlo per voi.