WordPress-Sicherheit: Versionsnummer unterdrücken
Die Macher von WordPress haben schon häufig Schelte für die Sicherheit ihres Weblog-Systems bekommen. Was tun als Hasenfüßiger Webmaster, der man ist?
Da hat der „WordPress Codex“ seit geraumer Zeit einen passenden Artikel parat, der sich der „Härtung“ von WordPress widmet. Lesen sollte man den schon: Hardening WordPress
Da wird nach der Parole „Security through obscurity“ auch empfohlen, die Versionsnummer der Installation nicht laut herauszuposaunen, damit es die bösen Cracker in der Zeit zwischen Bekanntwerden einer Lücke und der Installation einer gefixten Version nicht so leicht damit haben, „willige“ Opfer zu finden. Na gut, gar nicht so doof!
Leider reicht es dazu nicht aus, einfach das „Generator“-Metatag aus dem Header zu schnipsen. Das System plakatiert seine Versionsnummer an allen Ecken und Enden: in den HMTL-Seiten, in den Feeds und so fort. Das Entfernen des Metatags allein ist bei den letzten Versionswechseln noch ein Stück weit schwieriger geworden – das Tag wird inzwischen von der builtin-Funktion wp_head() erzeugt. Die macht auch noch andere Dinge und ist nicht so leicht verzichtbar.
Abhilfe: der „Generator“-Funktion per Filter einen Riegel vorschieben. Am schnellsten geht das durch Einfügen folgender Zeilen in die function.php des eigenen WordPress-Templates unter /wp-content/themes/THEME-NAME:
function nichts() {
return "";
}
add_filter('the_generator','nichts');
Das behebt das Problem direkt an der Wurzel, da WordPress auf die Funktion the_generator() an allerlei Stellen zurückgreift. Wer diesen „Schalldämper“ lieber als PlugIn mag (zum ein- und ausknipsen), kann sich natürlich auch mit wenigen Handgriffen selber eines daraus basteln – das macht den Webmaster natürlich auch nicht doofer 😉