Websourcing.fr

Websourcing.fr » ActualitĂ©s, Web, Logiciels et Fun

Image pour [Wordpress] La vraie bonne manière de supprimer le numéro de version

[Wordpress] La vraie bonne manière de supprimer le numéro de version

Tags: , , , ,
Posté dans Logiciels & Webwares, Webworker par Lionel Roux le 7 fĂ©v 2010

Dès qu’un blog commence Ă  avoir un peu de succès, il devient la cible des spammers, puis plus tard des hackers.

Wordpress est l’une des plateforme de blogging les plus populaires. A ce titre, elle concentre bon nombre d’attaques.

Par défaut, Wordpress publie sur votre site la version du moteur (par exemple 2.9.1) qui le propulse. Ceci a pour but de compter le nombre de blog utilisant la plateforme et dans quelle version.
Mais cette publication a un gros inconvĂ©nient : un hacker peut connaitre la version que vous utilisez et se servir de failles connues de la dite version pour prendre le contrĂ´le de votre blog, surtout si elle n’est pas Ă  jour.

wordpress-securite-cadenas

Il est donc recommandé de supprimer cette information. Il existe plusieurs techniques mais une seule est 100% efficace.

Suppression dans le header

On voit parfois une technique simple qui permet, a priori, de supprimer la version dans le code HTML produit.
Il suffit de supprimer la ligne suivante dans le code du fichier header.php de votre thème.

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Suppression de l’insertion dans le header

D’autres recommandent de supprimer l’insertion de la ligne ci-dessus, en utilisant un hook.
Il faut alors ajouter le code suivant dans le fichier functions.php de votre thème.

remove_action('wp_head', 'wp_generator');

Limites de ces techniques

Bien que fonctionnant en apparence, ces deux techniques souffrent du même problème : elles ne vont supprimer la version que dans le code HTML source généré par le moteur, dans le section <head>.

Mais un hacker qui connait un peu mieux Wordpress, pourra tirer parti de votre flux RSS, qui lui continuera de publier la version de votre plateforme Wordpress.

LA solution

La solution consiste Ă  berner le moteur en lui faisant afficher n’importe quoi, quel que soit l’endroit : j’ai choisi websourcing-custom-version, mais vous pouvez mettre ce que vous voulez (-1, fuck-you-hackers, …).

Le code qui suit est à insérer dans le fichier functions.php : 

function remove_wordpress_version() {
    return 'websourcing-custom-version';
}
add_filter('the_generator', 'remove_wordpress_version');

MalgrĂ© tout, cette technique n’est Ă  rĂ©server que si vous ne pouvez pas mettre Ă  jour votre version (si vous avez personnalisĂ© certaines choses incompatibles avec la dernière version).

N’oubliez pas Ă©galement de protĂ©ger votre blog contre les intrusions en bloquant les attaques par bruteforce.

via


Cet article vous a plu ?

Commenter Laissez un commentaire | Recevez les mises à jour Souscrivez au flux RSS | Partager : Twitter AddInto Fuzz del.icio.us Wikio FR Blogonet
Websourcing.fr - Tous droits réservés. Reproduction interdite sans accord préalable.

Sur le même thème :

  1. [Brève] Wordpress 2.8, J-6 avant la version finale
    [Brève] Wordpress 2.8, J-6 avant la version finale
  2. [Wordpress] The Buffet Framework, une très bonne base de thème pour développer le votre
    [Wordpress] The Buffet Framework, une très bonne base de thème pour développer le votre
  3. [Wordpress] Mise à jour de sécurité : WP 2.8.3
    [Wordpress] Mise à jour de sécurité : WP 2.8.3
  4. [Brève] Wordpress 2.8 est disponible en version finale
    [Brève] Wordpress 2.8 est disponible en version finale

  1. Répondre Citer #1 par wize le 7 fĂ©vrier 2010 - 12:53

    Merci pour ce bon plan.
    Je commence Ă  voir mon trafic augmenter fortement au bout d’un an…
    Je vais tester ta solution/
    Good job/
    w

  2. Répondre Citer #3 par Marie-Micheline Dufour le 8 fĂ©vrier 2010 - 02:03

    Bonjour,

    LĂ , j’ai appris des choses que je ne savais pas et j’en suis heureuse.

    Je vais suivre les conseils que vous avez donnés

  3. Répondre Citer #4 par Deenox le 8 fĂ©vrier 2010 - 06:54

    N’existe t’il pas une solution qui le mettrais a jour automatiquement comme pour les logiciels ? Ainsi plus de problème de mise Ă  jour pour ceux qui le souhaite.

  4. Répondre Citer #5 par casiseb le 19 fĂ©vrier 2010 - 11:08

    Salut Lionel je post ici je pense que c’est le meilleur article pour le faire peut tu me dire quel plugins tu utilise pour la protection contre le spam car je crois qu’on m’a jouĂ© un salle tour…

    • Répondre Citer #6 par Lionel Roux le 19 fĂ©vrier 2010 - 12:40

      Hello, SĂ©bastien,

      j’utilise Akismet. J’ai regardĂ©, je n’ai pas de commentaire dans les spams.

  5. Répondre Citer #7 par casiseb le 19 fĂ©vrier 2010 - 16:11

    Pourtant je n’ai rĂ©ussit qu’Ă  passer ce commentaire qu’en passant par un vpn pour changer d’adresse ip il semblerai qu’un petit malin est rĂ©ussit Ă  utiliser mon ip pour du spam en masse… donc rĂ©sultat blaklistage… mais ne t’inquiète pas tu n’est pas le seul blog ou mes commentaires ne passent plus

    • Répondre Citer #8 par Lionel Roux le 20 fĂ©vrier 2010 - 19:20

      J’essaie d’ĂŞtre vigilant et d’approuver les tiens. Mais je ne regarde pas tous les jours.

(Ne sera pas publié)

  1. Sur Les tweets qui mentionnent [Wordpress] La vraie bonne manière de supprimer le numéro de version - Websourcing.fr -- Topsy.com le 8 février 2010 - 10:00

    [...] Ce billet Ă©tait mentionnĂ© sur Twitter par guillaume sempe, 1ere Position, Kleiber nicolas, Simon Tripnaux, Lionel Roux et des autres. Lionel Roux a dit: Sur Websourcing.fr: [Wordpress] La vraie bonne manière de supprimer le numĂ©ro de version: Dès qu’un blog commence … http://bit.ly/doDnr5 [...]