Как скрыть параметр с версией WordPress в JavaScript и CSS

Для успешной атаки на ваш сайт, у злоумышленника есть два пути:

  1. Подобрать пароль к учётной записи администратора
  2. Найти уязвимость в используемой вами версии WordPress

Первый путь блокируется очень просто с помощью инструкции «Как запретить подбор имени пользователя в WordPress». Со вторым мы сейчас разберёмся :-)

Версию WordPress можно узнать несколькими путями: открыть файл readme.html, который находится в корне вашего сайта; найти мета-тег «generator» в коде вашего сайта, либо найти упоминание версии в параметрах подключаемых скриптов.

Обычно выглядит это следующим образом:
Как скрыть параметр с версией WordPress в JavaScript и CSS

Давайте же избавимся от этого параметра, чтобы он не мозолил глаза ни нам, ни взломщику :-)

Существует два простых способа удаления параметра ver при подключении JavaScript или CSS в шаблоне вашего сайта.

Для того, чтобы они заработали, выберите любой из двух предложенных вариантов, скопируйте и добавьте их в файл functions.php вашей темы. Это позволит активировать нужные настройки.

Первый вариант

Первый удаляет абсолютно все параметры ver во всех скриптах, наиболее.

function remove_version_from_js_and_css($src) {
    if (strpos($src, 'ver='))
        $src = remove_query_arg('ver', $src);
    return $src;
}
add_filter('style_loader_src', 'remove_version_from_js_and_css', 9999);
add_filter('script_loader_src', 'remove_version_from_js_and_css', 9999);

Не могу сказать точно, используется ли где-то параметр ver в самих JavaScript-сценариях, но на моём блоге этот код работает очень успешно. Если будут проблемы с ним — воспользуйтесь вторым вариантом.

Второй вариант

Второй удаляет только упоминание версии WordPress во встроенных скриптах

function remove_version_from_js_and_css($src) {
    if (strpos($src, 'ver='.get_bloginfo('version')))
        $src = remove_query_arg('ver', $src);
    return $src;
}
add_filter('style_loader_src', 'remove_version_from_js_and_css', 9999);
add_filter('script_loader_src', 'remove_version_from_js_and_css', 9999);

Для наиболее эффективного удаления версии WordPress, лично я рекомендую использовать первую версию, тогда ни одна версия используемых вами скриптов или плагинов не будет известна злоумышленнику.

До встречи в новых заметках! :-)

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Комментарии

  • Александр, скажите, пожалуйста, а если не менять изначальный пароль от админки блога, а оставить тот, что присвоен автоматически-это плохо? Он ведь не несёт смысловой нагрузки, даже сама его набрать не могу-каждый раз захожу через аккаунт Таймвеб и там просто копирую :)

    • Если он более-менее сложный — то можете использовать спокойно. Лучшая практика — менять пароли раз в 2-3 месяца, это убережёт вас от многих проблем.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: