Nell’ambito della sicurezza informatica, chi ha un sito web che utilizza una piattaforma come WordPress dovrebbe essere sempre al corrente dei rischi a cui va incontro. Uno di questi é quello di avere all’interno del proprio codice, visibile a tutti, un meta tag che rappresenta la versione di WordPress utilizzata dal sito.
In questa guida ti spiego perché non rimuoverlo rappresenta un grave problema per la sicurezza del tuo sito e come farlo nel modo giusto.
Che cosa rischio?
Come forse saprai, WordPress viene aggiornato costantemente e le nuove versioni vengono rilasciate non soltanto per aggiungere nuove funzionalità, ma anche per correggere eventuali falle di sicurezza che gli utenti hanno segnalato. Molto spesso, però, avviene che i bug della piattaforma vengano sfruttati da malintenzionati per fare danni.
Facciamo un esempio: al momento della scrittura di questo articolo WordPress é alla versione 4.7.4. Trapela la notizia che a causa di un errore da parte degli sviluppatori, esiste un bug che permette facilmente a qualunque utente di diventare Amministratore. Automattic (la società che ha creato e gestisce WordPress) tarda a rilasciare un aggiornamento e tu non sai come risolvere il problema autonomamente sul tuo sito. Unisci a questo il fatto che tutti possono sapere semplicemente guardando il codice a quale versione é WordPress e… insomma, capisci dove voglio arrivare, vero?
Nascondere la versione di WordPress
Cercando su internet troverai vari metodi per nascondere la versione di WordPress. Alcuni prevedono la modifica del file header.php, altri la modifica del file functions.php utilizzando la funzione remove_action, ma entrambi sono errati poiché WordPress genera un feed RSS ed in tale feed sarebbe ancora visibile la versione dell’aggiornamento.
Ti spiego quindi il metodo giusto, é molto semplice: apri il file functions.php del tuo child theme ed inserisci il seguente codice in fondo a tutto.
function remove_version() {
return '';
}
add_filter('the_generator', 'remove_version');
Bonus: cosa fa questo codice
Dalla riga 1 alla riga 3 hai praticamente creato una funzione che, quando chiamata, restituisce come risultato una stringa nulla.
Alla riga 4, con add_filter, stai aggiungendo un filtro, ossia ti stai agganciando alla funzione originale di WordPress, che si chiama the_generator, che appunto avrebbe generato il numero della versione, se non gli avessi però passato la tua funzione remove_version.
Dubbi, domande? Sentiti libero di lasciarmi un commento e ti risponderò quanto prima.
Alla prossima!
