WordPress zeigt seine Versionsnummer standardmäßig im HTML-Quellcode an. Dies gibt Angreifern nützliche Informationen, um bekannte Exploits für deine spezifische WordPress-Version gezielt einzusetzen.
Wo WordPress seine Version offenlegt
- Der
<meta name="generator">-Tag im HTML-Head - Der
?ver=-Parameter an CSS- und JS-Dateien - RSS-Feed-Generator-Tags
- Die
readme.html-Datei im WordPress-Stammverzeichnis
Alle Versionshinweise entfernen
Füge dies in die functions.php deines Themes ein:
// Generator-Meta-Tag entfernen
remove_action('wp_head', 'wp_generator');
// Version aus RSS-Feeds entfernen
add_filter('the_generator', '__return_empty_string');
// Version von Scripts und Styles entfernen
function remove_wp_version_from_assets($src) {
if (strpos($src, 'ver=' . get_bloginfo('version'))) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('style_loader_src', 'remove_wp_version_from_assets', 9999);
add_filter('script_loader_src', 'remove_wp_version_from_assets', 9999);readme.html löschen
Die Datei readme.html im WordPress-Stammverzeichnis enthält die Versionsnummer. Lösche sie nach jedem WordPress-Update.
Mit InspectWP überprüfen
Nach der Implementierung führe einen neuen InspectWP-Scan durch. Der WordPress-Bereich sollte die WordPress-Version nicht mehr im HTML-Quellcode erkennen.