WordPress divulgue son numéro de version de plusieurs manières, ce qui est potentiellement dangereux : pour peu que votre WordPress ne soit pas à jour, une personne malveillante connaissant votre version pourrait utiliser les failles connues pour vous attaquer. Il est donc toujours préférable de cacher quelle version vous utilisez, ce qui ne vous dispense bien entendu pas de mettre à jour régulièrement votre CMS !
Retirer la version de vos headers
Par défaut, WordPress génère cette ligne dans vos headers :
Pour désactiver cette génération, il suffit d'ajouter la ligne suivante dans le functions.php de votre thème (donc wp-content/themes/votre-thème/functions.php) :
remove_action('wp_head', 'wp_generator');
Supprimer le readme.html
Si pas mal de blogueurs soucieux de la sécurité pensent à retirer la version du code source, peu pensent à effacer le fichier readme.html présent à la racine de WordPress. Ce qui donne ceci :
Tiens, un WordPress 3.1, alors que nous sommes actuellement en 3.3.1, intéressant !
Supprimez donc ce fichier, et prenez garde après les mises à jours à ce qu'il ne soit pas recréé.
Salut,
Depuis le temps que je me disais qu'il fallait que je le fasse, ton billet me l'a fait faire : merci. Pour un de mes blogs, je l'ai fait sans souci et pour l'autre, ça ne marchait pas (la modif dans function.php).
En fouillant je me suis aperçu que le thème utilisé avait mis cette information en partie en html dans le header.php et donc j'ai du effacer une ligne dans ce fichier.
Merci pour l'article ! Je suis (très) soucieux de la sécurité, mais je n'avais pas pensé au readme.html ! Bien vu.
Par contre, je n'ai pas "par défaut" la ligne dont tu parles ... Peut-être qu'un de mes plugins s'en ai chargé ? (WP Security Scan peut-être)
Ping : Jeyg : Cacher la version de WordPress | | LogicampLogicamp
Ping : Nono’s Vrac 33 « m0le'o'blog