Masquer la version de votre site WordPress

Masquer la version de votre site WordPress

Les pirates n’ont pas besoin de grands moyens pour pirater votre site Web. Le plus souvent, ils profitent simplement de la version de votre site WordPress pour le pirater et vous causez des dégâts.

Sachez que lors de la sortie d’une mise à jour de WordPress, l’équipe du CMS communique sur la faille qui a été corrigée et c’est ainsi que la plupart des pirates agissent :

  • Comprendre la faille de sécurité annoncé par un éditeur lors d’une mise à jour
  • Chercher un site qui n’a pas fait la mise à jour et l’attaquer

Par défaut le numéro de version d’un site Web développé en WordPress apparaît dans le code de vos pages, n’importe qui peut donc le consulter.

Cacher la version de votre site WordPress, va donc compliquer la tâche de toute personne essayant de vous attaquer par ce biais !

attention, Cela ne veut pas dire que vous allez être totalement à l’abri si vous masquer la version de WordPress mais vous allez donc compliquer la tâche du hacker.

Pour en savoir plus sur la sécurité sur un site WordPress, vous pouvez consulter cet article pour déjà sécuriser votre fichier de configuration

#1 Supprimer le fichier « readme.html »

Commençons par le B-A-BA. D’abord on va supprimer un fichier « inutile » livré par défaut avec votre installation.

Pour cela, connectez-vous au FTP de votre site et supprimez le fichier « readme.html ».

Ce fichier n’est pas nécessaire au fonctionnement de votre site et contient le numéro de version de votre site WordPress.

#2 Modifier le fichier functions.php de votre thème

Le fichier functions.php d’un thème WordPress contrôle beaucoup de choses. Nous n’allons pas aborder les fonctionnalités du fichier functions.php dans cet article.

En effet, nous allons juste voir la façon avec laquelle on va supprimer l’affichage du numéro de version de WordPress.

Le fichier functions.php se trouve dans le dossier wp-content > themes > nom-de-votre-theme > functions.php.

Si vous utilisez un thème enfant, aller le chercher dans le dossier du thème enfant.

Quelques considérations à prendre en compte avant de modifier le fichier functions.php :

  • Si le fichier se termine par la balise ?>, mettez votre code avant cette balise.
  • Dans le cas où le fichier ne se termine pas par cette balise, copiez simplement votre code au niveau de la dernière ligne.
  • Il ne faut laisser aucune ligne blanche à la fin du fichier functions.php.

Tout d’abord, nous allons vérifier en affichant le code source de notre page que la version de WordPress est bien visible.

Il faut juste donc faire bouton droit sur votre site, afficher le code source et puis chercher « WordPress »:

 

la version de votre site WordPress est visible
visibilité de la version de votre site WordPress

 

en premier lieu, voici le code avec lequel on va supprimer le numéro de version de WordPress est très simple :

//Masquer la version de WordPress
function cs_remove_version() {
return '';
}
add_filter('the_generator', 'cs_remove_version');

Une vérification après la mise en place du code. Toujours avec la même méthode, juste en affichant le code source de la page :

la version WordPress est masquée

#3 Masquer la version des scripts

Une information que certains d’entre vous ne la connaissent peut être pas. Si un script ou un fichier de style ne spécifie pas de numéro de sa version, la version de WordPress est utilisée à la place.

Preuve à l’appui :

Le numéro de version WordPress à la place de celui du script

En conséquence, nous allons encore une fois ajouter une fonction dans notre super fichier function.php:

//Masquer la version de WordPress des scripts et style
function fjarrett_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );

Ainsi, en vérifiant par la suite, on constate la disparition de la version :

disparition du numéro de version WordPress

#4 masquer la version du PHP

Certains outils de tests de vitesse de sites vont suggérer de masquer la version du PHP que vous utilisez.

Pour masquer votre version de PHP, vous devez trouver votre fichier de configuration php.ini et localiser le mot-clé expose_php puis lui affecter la valeur off.

# php.ini
expose_php = off

Cependant, ceci n’est pas très simple à réaliser si vous êtes sous un hébergement mutualisé, car dans ce cas le fichier php.ini est partagé.

Conclusion

La sécurité de votre site WordPress peut commencer par de simples astuces. D’autres optimisations sont possibles et viennent avec le temps.

Il ne faut rien sous estimer de la sécurité de votre site, même les choses qui vous semble très simple.

Pour améliorer aussi la sécurité de votre site, il faudra passer votre site au protocole https si ce n’est pas déjà fait.

Enregistrer
Enregistrer
Enregistrer

Laisser un commentaire, votre avis nous intéresse