Moet je de WordPress versie verbergen of niet?

Kwaadwillende kunnen aan de hand van je WordPress versie bekijken hoe ze jouw website kunnen binnen dringen.

WordPress geeft namelijk na iedere update een changelog vrij waarin staat welke beveiligingslekken zijn gedicht.

Kwaadwillende maken natuurlijk gebruik van deze informatie en verzinnen vervolgens een manier om deze beveiligingslekken te misbruiken.

Is mijn WordPress versie altijd zichtbaar?

Ja, out of the box laat WordPress altijd het versienummer zien in de code van je website via de meta generator meta tag en in de RSS feeds.

Eigenlijk kan dus iedereen wie je website bekijkt en er een beetje verstand van heeft zo in de broncode kijken om te controleren op welke WordPress versie je draait.

Verder is het ook te achterhalen als je naar de stylesheets en bepaalde scripts kijkt, omdat hier ook de versie-informatie aan wordt toegevoegd.

Moet ik mijn WordPress versie verbergen?

Het is verstandig om je WordPress versie te verbergen als je traag bent met updaten of het soms vergeet. Het zal kwaadwillende niet stoppen, maar je hoeft ze geen extra hints te geven op welke manier je website het eenvoudigste gekraakt kan worden.

Wanneer je altijd up-to-date bent is het niet noodzakelijk om dit te doen. Je maakt dan gebruik van een WordPress versie waar de beveiligingslekken nog niet van openbaar zijn gemaakt.

Zodra deze lekken wel openbaar worden gemaakt, dan staat er altijd een update voor  je klaar met de nieuwste versie van WordPress. Op Webtalis is het versienummer dan ook gewoon nog te achterhalen.

Hoe verberg je de WordPress versie?

Om het WordPress versienummer te verbergen van de Generator meta tag kun je onderstaande code plaatsen in het functions.php van je geactiveerde WordPress thema.

remove_action('wp_head', 'wp_generator');

Open een FTP programma (bijv. FileZilla) en open functions.php van je WordPress theme. Je kunt het functions.php bestand vinden in de map wp-content/themes/jouwtheme/. Eenmaal het bestand geopend kun je onderstaande code toevoegen.

Sla het bestand op en upload het naar je webserver.

Weet je niet hoe je een snippet plaatst? lees dan eest het artikel hoe plaats je snippets in WordPress.

Om het WordPress versie nummer te verbergen uit de standaard RSS feed kun je de volgende code plaatsen onderaan het functions.php bestand.

function remove_wp_version_rss() {
 return'';
 }

add_filter('the_generator','remove_wp_version_rss');

Om het WordPress versienummer uit de stylesheet en scripts te halen kun je ook nog onderstaande code toevoegen:

function fjarrett_remove_wp_version_strings( $src ) {
     global $wp_version;
     parse_str(parse_url($src, PHP_URL_QUERY), $query);
     if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
          $src = remove_query_arg('ver', $src);
     }
     return $src;
}
add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );

Tot slot is het ook verstandig om het readme.html bestand van je webserver te verwijderen, want anders kan via een URL als http://www.jouwwebsite.nl/readme.html ook nog het versienummer achterhaalt worden.