Masquer la version de votre site WordPress

Masquer la version de votre site WordPress

Les pirates n’ont pas besoin de grands moyens pour pirater votre site Web. Le plus souvent, ils profitent simplement de la version de WordPress pour pirater votre site et vous causez des dégâts.

Sachez que lors de la sortie d’une mise à jour de WordPress, l’équipe du CMS communique sur la faille qui a été corrigée et c’est ainsi que la plupart des pirates agissent :

  • Comprendre la faille de sécurité annoncé par un éditeur lors d’une mise à jour
  • Chercher un site qui n’a pas fait la mise à jour et l’attaquer

Par défaut le numéro de version d’un site Web développé en WordPress apparaît dans le code de vos pages, n’importe qui peut donc le consulter. Si nous le cachons, nous compliquerons donc la tâche de toute personne essayant de vous attaquer par ce biais !

Cela ne veut pas dire que vous allez être totalement à l’abri si vous masquer la version de WordPress mais vous allez donc compliquer la tâche du hacker.

Supprimer le fichier « readme.html »

Commençons par le B-A-BA. On va supprimer un fichier livré par défaut avec votre installation.

Connectez-vous sur le FTP de votre site et supprimez le fichier « readme.html ».

Ce fichier n’est pas nécessaire au fonctionnement de votre siteet contient le numéro de version de WordPress.

Modifier le fichier functions.php de votre thème

Le fichier functions.php d’un thème WordPress contrôle beaucoup de choses mais nous n’allons parler dans cet article que de la façon avec laquelle on va supprimer l’affichage du numéro de version de WordPress.

fichier functions.php se trouve dans le dossier wp-content > themes > votretheme > functions.php.

Si vous utilisez un thème enfant, aller le chercher dans le dossier du thème enfant.

Si le fichier se termine par la balise ?>, mettez votre code avant cette balise. Si le fichier ne se termine pas par cette balise, copiez simplement votre code au niveau de la dernière ligne. Il ne faut laisser aucune ligne blanche à la fin du fichier functions.php.

Nous allons vérifier en affichant le code source de notre page que la version de WordPress est bien visible, il faut juste donc faire bouton droit sur votre site, afficher le code source et puis chercher « WordPress »:

la version de votre site WordPress est visible

Le code avec lequel on va supprimer le numéro de version de WordPress est très simple :

//Masquer la version de WordPress
function cs_remove_version() {
  return '';
  }

add_filter('the_generator', 'cs_remove_version');

Une petite vérification après la mise en place de ce code, toujours avec la même méthode, juste en affichant le code source de la page :

la version de votre site WordPress est masquée

Masquer la version des scripts

Une information que certains d’entre vous ne la connaissent peut être pas, si un script ou un fichier de style ne spécifie pas de numéro de sa version lors de l’affichage de votre site, la version de WordPress est utilisée à la place.

Preuve à l’appui :

Le numéro de version WordPress à la place de celui du script

Nous allons encore une fois ajouter une fonction dans notre super fichier function.php:

//Masquer la version de WordPress des scripts et style
function fjarrett_remove_wp_version_strings( $src ) {
     global $wp_version;
     parse_str(parse_url($src, PHP_URL_QUERY), $query);
     if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
          $src = remove_query_arg('ver', $src);
     }
     return $src;
}
add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );

Un petit coup de vérification par la suite :

disparition du numéro de version WordPress

Conclusion

La sécurité de votre site WordPress peut commencer par de simple astuces comme celui de masquer la version WordPress de votre site jusqu’à arriver à des choses beaucoup plus compliqués.

Il ne faut rien sous estimer de la sécurité de votre site, même les choses qui vous semble très simple.

Enregistrer

Enregistrer

Enregistrer


3 click solutions

3 Click Solutions est une agence web, mobile et de formation. Spécialisée dans le web design, création site web dynamique, site web e-commerce, community management et le référencement web mais aussi des applications mobiles Androïdes et de formation en SIG