Aumenta la sicurezza del tuo sito WordPress rimuovendo la versione in uso
WordPress, così come molti altri CMS genera un meta tag per indicare com’è stato creato il sito, per l’appunto mediante l’uso di WordPress, e con quale versione. Questa informazione può essere letta da chiunque, basta guardare il codice sorgente del sito.
Per farti capire meglio di cosa sto parlando, eccoti un esempio:
<meta name="generator" content="WordPress 5.3">
Questo meta tag, come puoi facilmente leggere ed interpretare comunica che il sito è stato sviluppato con WordPress ed inoltre indica anche la versione attualmente in uso.
La versione di WordPress in uso può anche essere vista richiamando la url: nomesito.ltd/feed
Questa informazione, per te che sei l’amministratore del sito, viene fornita nella bacheca di WordPress in una schermata simile a questa:
In realtà, WordPress ed altri CMS creano questi meta tag a scopo statistico e non ci sarebbe nulla di male nel mostrare nel codice che il nostro sito web o blog è stato creato con WordPress.
Il problema è che questa informazione molte volte viene usata dagli hacker per scopi illeciti.
Sapere quale versione di WordPress stiamo usando, infatti, potrebbe esporci a possibili attacchi. Ti spiego meglio.
Possibili attacchi con una versione obsoleta
Se stiamo usando una versione obsoleta di WordPress, del quale è nota una falla di sicurezza, dei malintenzionati potrebbero usare quella falla per violare il nostro sito web.
Il “trucchetto” usato da questi hacker è molto semplice. Essendo WordPress un CMS open source tutti ne possono vedere e conoscere il codice sorgente. Questo permette di trovare anche quelli che vengono chiamati bug.
Questi bug, specialmente inerenti alla sicurezza, vengono prontamente risolti dal team di sviluppo di WordPress ma, purtroppo, non tutti gli utenti prestano la dovuta attenzione agli aggiornamenti sottovalutandone i rischi.
Ora, supponiamo che nella versione di WordPress 5.1 ci sia un bug sulla sicurezza.
Gli hacker, molto semplicemente, creano un piccolo script che va alla ricerca dei siti web che nel loro sorgente includono il meta tag “generetor” con valore “WordPress 5.1”, una volta trovati potranno usare il bug, falla, di sicurezza per attaccare quel sito.
Capisci, quindi, quanto sia importante rimuovere il numero di versione di WordPress in uno, anche se per buona regola dovresti preoccuparti di aggiornare sempre all’ultima versione stabile disponibile.
Nascondere Versione di WordPress
Ora, spiegato quale sia il problema ed anche quelli che sono i possibili rischi, vediamo come correre ai ripari ed andare a rimuovere il numero di versione di WordPress.
Fortunatamente questo “problema” è di semplicissima risoluzione ed è un qualcosa che chiunque può riuscire a fare.
Basterà, semplicemente andare ad aggiungere qualche riga di codice PHP al file “functions.php” del tema in uso.
Quindi, apri il tuo programma FTP, io uso FileZilla, ed accedi al tuo web server, dalla root principale vai in wp-content > themes > ed apri la cartella relativa al tuo tema in uso e scarica sul pc il file denominato functions.php.
Prima di metterci mani e modificarlo, ricorda sempre, fai un copia di backup di questo importantissimo file.
Alla fine di questo file inserisci il seguente codice:
//rimuovi versione wordpress
function remove_wordpress_version() {
return '';
}
add_filter('the_generator', 'remove_wordpress_version');
Con questo semplice codice abbiamo rimosso la versione di WordPress in uso sia dal file sorgente, e quindi il meta tag, sia dal feed.
Però questo non basta, in quanto è possibile risalire alla versione in uso di WordPress anche tramite i file css o js come ti mostro in questo screenshot
Come puoi vedere nel codice abbiamo riferimenti come ad esempio:
/dashicons.min.css?ver=5.3
Dobbiamo quindi andare a togliere dal codice sorgente anche questi riferimenti per nascondere il numero di versione di WordPress al 100% e per farlo lavoreremo sempre sul file functions.php del nostro tema in uso, andando ad aggiungere il seguente codice:
//rimuovi riferimenti versione wordpress
function rimuovi_versione_stile_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'rimuovi_versione_stile_js');
add_filter( 'script_loader_src', 'rimuovi_versione_stile_js');
Adesso, siamo riusciti, con questi brevi codici inseriti nel functions.php del nostro tema a nascondere il numero di versione di WordPress attualmente in suo sul nostro sito web o blog.
Conclusioni
Con questa piccola guida e con l’ausilio di questi codici PHP potrai andare a nascondere il numero di versione di WordPress ed andare così ad aumentare la sicurezza del tuo sito web. Ovviamente questo è solo uno dei tantissimi aspetti inerenti alla sicurezza ma anche lui ha la sua importanza.
Per qualsiasi dubbio non esitare a chiedere usando il box dei commenti sottostante.
