Afin de protéger son installation WordPress, on dit souvent de masquer la version utilisée. Or WordPress fournira toujours des éléments qui indiqueront la version installée.
Meta Generator Tag et flux RSS/Atom
Il y a deux endroits où la version de WordPress est facilement visible, le header avec
<meta name=”generator” content=”WordPress 3.1″ />
ainsi que les flux RSS avec
<generator>http://wordpress.org/?v=3.1</generator>
.
Beaucoup connaissent le
remove_action('wp_head', 'wp_generator'); pour enlever la version WP du header. Cependant, elle ne masque pas le numéro de WP dans les flux.
Pour tout masquer, la solution est aussi simple que celle au dessus, elle se résume en une ligne à insérer dans le fichier functions.php du thème.
add_filter('the_generator', create_function( '$a', "return null;" ) );readme.html
Un autre indice permet de trouver facilement la version WP utilisée, le fichier readme.html. Il suffit de le supprimer, il se trouve à la racine de l'installation WordPress.
Cependant même si la version est masquée au plus grand nombre, il sera toujours possible de trouver la version de votre installation. Ainsi, il existe plusieurs moyens.
Les deux prochaines méthodes permettent de déterminer la version majeure de WP, pas les mise à jour mineures. Cela indiquera donc la version 3.1, pas la 3.1.3.
Fichier CSS
En regardant le code source de la page de login ou même wp-admin/upgrade.php et /wp-includes/js/tinymce/wp-mce-help.php, vous pourrez voir le numéro de la version de la CSS utilisée. Ce numéro correspond à une version de WP.
<link rel=’stylesheet’ href=’http://localhost/wordpress/wp-admin/css/login.css?ver=20081210′ type=’text/css’ media=’all’ />
Version WP correspondant au numéro CSS
2.6: 20080708
2.7: 20081210
2.8: 20090514
2.9: 20091010
3.0: 20100601
3.1: 20110121
Nouveaux fichiers
Une autre méthode consiste à vérifier la présence d'un fichier spécifique à la version. Ainsi à chaque nouvelle version de WordPress, un nouveau fichier fait son apparition, dû aux nouvelles fonctionnalités ajoutées.
2.2: /wp-includes/images/rss.png
2.3: /wp-includes/js/scriptaculous/sound.js
2.5: /wp-includes/js/jquery/suggest.js
2.6: /wp-includes/images/blank.gif
2.7: /wp-includes/js/comment-reply.js
2.8: /wp-includes/js/autosave.dev.js
2.9: /wp-includes/js/json2.dev.js
3.0: /wp-includes/js/wp-list-revisions.dev.js
3.1: /wp-includes/js/admin-bar.dev.js
Conclusion : Ce n'est pas en masquant la version de WordPress que votre installation sera sécurisée. Le Codex WP explique les démarches à suivre pour être le plus en sécurité possible.
Related posts:
