Nascondere la versione di WordPress

7
Nascondere la versione di WordPress

Ogni versione di WordPress ha una sua vulnerabilità che appena scoperta diventa di dominio pubblico in pochissimo tempo.
L’elenco completo di tutte le vulnerabilità di WordPress compresi plugins e temi è contenuto nel WPScan Vulnerability Database ed è accessibile a chiunque.
Per conoscere la versione di WordPress utilizzata basta visualizzare il codice sorgente della pagina web e cercare il tag <meta name=”generator” content=WordPress” />
Per evitare che qualcuno possa sfruttare queste vulnerabilità possiamo nascondere la versione di WordPress rimuovendo il meta tag generator (il tag che indica quale sistema ha generato la pagina web) e le informazioni relative alla versione che si possono trovare nei JavaScript e nei CSS.
Nascondere la versione di WordPress può aumentare il livello di protezione ma è soltanto una delle regole da seguire per rendere più sicuro il sito web (→ come rendere sicuro WordPress).

Come nascondere la versione di WordPress nel file functions.php

Prima di tutto effettuiamo l’accesso alla Bacheca di WordPress.
Selezioniamo Aspetto e facciamo clic su Temi.
Adesso in alto a destra selezioniamo il tema da modificare.
Nell’elenco di file visualizzato sotto Template facciamo clic sul file Funzioni del tema (functions.php).
Copiamo e incolliamo questo codice nel file functions.php.
Attenzione: non incolliamo i tag di apertura <?php e chiusura ?> se nel file functions.php sono già presenti. In tal caso incolliamo il codice subito dopo il contenuto del file ma subito prima del tag di chiusura ?>

<?php
// Nascondere la versione di WordPress
remove_action(‘wp_head’, ‘wp_generator’);

// Nascondere le informazioni sulla versione di WordPress
function hide_wordpress_version() {
return ”;
}
add_filter(‘the_generator’, ‘hide_wordpress_version’);

// Nascondere le informazioni sulla versione di WordPress nei JS e CSS
function hide_wordpress_version_in_script($src, $handle) {
$src = remove_query_arg(‘ver’, $src);
return $src;
}
add_filter( ‘style_loader_src’, ‘hide_wordpress_version_in_script’, 9999 );
add_filter( ‘script_loader_src’, ‘hide_wordpress_version_in_script’, 9999 );
?>

Se stiamo utilizzando un caching plugin dobbiamo svuotare la cache (→ cos’è la cache) se vogliamo che le modifiche abbiamo effetto.
Importante: quando aggiorniamo il tema WordPress dobbiamo ricopiare e incollare il codice. L’aggiornamento del tema comporta infatti la sovrascrittura del file functions.php

I file license.txt, licenza.html e readme.html

Oltre a nascondere la versione di WordPress nel file functions.php dobbiamo anche eliminare oppure bloccare l’accesso ai file che contengono le informazioni sulla versione utilizzata. Questi file vengono salvati nella directory di installazione quando si installa WordPress e sono i seguenti:
license.txt
licenza.html
readme.html

Metodo 1 | Eliminare i file manualmente

La prima possibilità consiste nell’eliminare i file cancellandoli manualmente.
Importante: quando aggiorniamo WordPress a una nuova versione questi file saranno nuovamente salvati nella directory di installazione. Ricordiamoci di eliminarli dopo ogni aggiornamento.

Metodo 2 | Bloccare l’accesso ai file

Se non vogliamo eliminare manualmente questi file dopo ogni aggiornamento di WordPress possiamo bloccare l’accesso nel file .htaccess
Attenzione: prima di procedere effettuiamo il backup del file .htaccess. Qualsiasi modifica errata potrebbe compromettere il sito web (→ come fare il backup di WordPress).

Effettuiamo il login al pannello di controllo del nostro provider di hosting.
Adesso nella directory di installazione di WordPress cerchiamo il file .htaccess
Apriamo il file .htaccess con l’editor di codice oppure con un editor di testo.
Copiamo e incolliamo questo codice e salviamo il file.

# Bloccare l’accesso ai file che contengono la versione di WordPress

<files license.txt>
order allow,deny
deny from all
</files>

<files licenza.html>
order allow,deny
deny from all
</files>

<files readme.html>
order allow,deny
deny from all
</files>