Jak ukryć WordPressowe footprinty
Footprint to w dużym uproszczeniu ślad w kodzie na podstawie którego można określić generator strony. Nie tylko ze względów bezpieczeństwa warto jest pozbywać się tych śladów. Innymi przypadkami może być np. budowa własnego zaplecza opartego o Strony na WordPress. W tym wpisie krótko opiszę Ci rozwiązania, które możesz samodzielnie zastosować do ukrycia WordPressa.
Nie korzystaj z autoinstalatorów
Nawet najlepsze autoinstalatory zostawiają za sobą mnóstwo śladów, np. w postaci automatycznej aktualizacji. Instalacja WordPressa jest na tyle szybka i prosta i trywialna, że na prawdę nie potrzebujesz do tego autoinstalatora.
Swoją drogą nie wiesz tak do końca co robi ten autoinstalator, więc po kątem samego bezpieczeństwa korzystanie z niego jest po prostu bezsensu.
Usuń plik readme.html
Każdy, kto miał chociaż trochę doczynienia z WordPressami wie, że po instalacji lub aktualizacji tworzony jest plik readme.html. Plik możesz podejrzeć wpisując adres swojej domeny i dodając do niego ścieżkę /readme.html.
W tym pliku znajdziesz informacje na temat adresu panelu logowania, wersji WordPressa. Co już oczywiście zdradza z jakiego CMS korzystasz. Najprostszym i najbardziej banalnym rozwiązaniem jest usunięcie tego pliku z hostingu.
Plik license.txt
Kolejnym prostym sposobem na sprawdzenie z jakiego CMS korzystasz jest plik license.txt. Plik ten również znajduje się w głównym katalogu naszego WordPressa. Wystarczy, że wpiszesz adres swojej domeny i dodasz do niego /license.txt .
Znowu najprostszym i najbanalniejszym sposobem jest po prostu usunięcie tego pliku z katalogu i pilnowanie, żeby tam się znowu nie pojawił.
Ukrywanie generatora i wersji WordPress w kodzie HTML
Usunięcie informacji generator
Najpopularniejszym śladem, który na pierwszy rzut oka jest widoczny w kodzie HTML jest wersja WordPressa. Każdy komu będzie chciał rzucić okiem w Twój kod zauważy, której wersji używasz.
Aby ukryć wersję WP należy w pliku functions.php (najlepiej motywu potomnego) dodać następujący fragment kodu.
// usun wersje wp
function remove_wp_version() {
return '';
}
add_filter('the_generator', 'remove_wp_version');
Code language: JavaScript (javascript)
Usunięcie wersji wordpressa z CSS i JS
Poza usunięciem danych w HTML trzeba jeszcze zabezpieczyć się w innych miejscach, takich jak CSS i JS
// usun parametr wersji wp ze wszystkich dodanych skryptów
function remove_wp_from_css_js( $src ) {
if ( strpos( $src, 'ver=' ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'remove_wp_from_css_js', 1234);
add_filter( 'script_loader_src', 'remove_wp_from_css_js', 1234 );
Code language: PHP (php)
Usuń komentarze w HTML
Kolejną rzeczą, która zdradza naszego WordPressa są komentarze w kodzie html. Możemy się ich pozbyć dodając do pliku functions.php następujący kod:
// usun komentarze w html
function callback($buff) {
$buff = preg_replace('/<!--(.|s)*?-->/', '', $buff);
return $buff;
}
function buff_start() {
ob_start("callback");
}
function buff_end() {
ob_end_flush();
}
add_action('get_header', 'buff_start');
add_action('wp_footer', 'buff_end');
Code language: PHP (php)
Usuń shortlink dla stron i wpisów
Aby usunąć shortlink z wpisów wystarczy, że dodasz następujący kod do pliku functions.php
//usun shortlink
remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0);
Code language: JavaScript (javascript)
Bardzo przydatny artykuł dla początkujących, a jednak WordPress do najbezpieczniejszych CMS-ów nie należy.
Nie no, WordPress jest bezpieczny. Trzeba tylko spełnić kilka warunków, żeby o to bezpieczeństwo dbać cały czas, a nie od święta. To tak jak zmiana bielizny, mycie zębów. Czyli po prostu higiena.