Jednym z podstawowych kroków zwiększających bezpieczeństwo witryny opartej na WordPressie jest ukrycie wersji CMS-a. Domyślnie WordPress dodaje meta tag informujący o wersji systemu, co może ułatwić pracę hakerom, szczególnie jeśli używasz przestarzałej wersji z lukami w zabezpieczeniach.
Domyślnie WordPress dodaje do kodu HTML tag meta, który informuje o wersji systemu. To może stanowić zagrożenie bezpieczeństwa – szczególnie jeśli Twoja witryna nie jest w pełni zaktualizowana. W tym poradniku pokażę Ci, jak usunąć te informacje krok po kroku.
🔍 Dlaczego warto ukryć wersję WordPressa?
Ukrycie wersji WordPressa to ważny krok w podstawowym zabezpieczeniu witryny. Choć samo w sobie nie gwarantuje pełnej ochrony, może skutecznie zniechęcić lub spowolnić potencjalnych napastników. Oto kilka powodów, dla których warto to zrobić:
1. Ochrona przed zautomatyzowanymi atakami
Wiele botów skanuje strony internetowe w poszukiwaniu konkretnych wersji WordPressa, które są podatne na znane luki bezpieczeństwa. Jeśli numer wersji jest jawnie dostępny w kodzie HTML, taki bot może zidentyfikować podatną wersję i automatycznie spróbować ataku.
2. Zmniejszenie powierzchni ataku
Ukrycie wersji CMS-a to przykład tzw. security through obscurity, czyli bezpieczeństwa przez zaciemnienie. Nie jest to metoda niezawodna, ale działa jako dodatkowa warstwa zabezpieczeń – im mniej informacji o systemie ujawniasz, tym trudniej go zaatakować.
3. Ukrycie nieaktualnego systemu
Jeśli z jakiegoś powodu używasz starszej wersji WordPressa (np. ze względu na niekompatybilne wtyczki), ukrycie jej numeru może ochronić Cię przed wykorzystaniem znanych podatności. Oczywiście najlepszą praktyką jest zawsze aktualizowanie systemu, ale ukrycie wersji może pomóc w sytuacjach przejściowych.
4. Profesjonalny wizerunek
Strona, która ujawnia swoją strukturę technologiczną, może wyglądać na mniej dopracowaną lub mniej bezpieczną w oczach użytkowników technicznych. Ukrycie wersji WordPressa to krok w stronę bardziej profesjonalnego, zabezpieczonego wizerunku online.
5. Ochrona przed tzw. „low-skill” hackerami
Nie wszyscy atakujący to zaawansowani specjaliści. Niektórzy korzystają z ogólnodostępnych narzędzi, które bazują na wykrywaniu wersji CMS-a. Ukrywając ten element, utrudniasz im działanie.
🔍 Gdzie w kodzie widać wersję WordPressa?
<meta name="generator" content="WordPress 6.x.x" />Ten pozornie niegroźny tag może pomóc atakującym w identyfikacji podatności na podstawie konkretnej wersji CMS-a.
✅ Krok 1: Usuń wersję WordPressa z wp_head()
remove_action('wp_head', 'wp_generator');✅ Krok 2: Usuń wersję z adresów plików CSS i JS
function remove_wp_version_strings($src) {
if (strpos($src, 'ver=') && !is_admin()) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('script_loader_src', 'remove_wp_version_strings', 9999);
add_filter('style_loader_src', 'remove_wp_version_strings', 9999);🛠️ Wskazówki dodatkowe
- Regularnie aktualizuj WordPressa i wszystkie wtyczki.
- Użyj sprawdzonych wtyczek zabezpieczających, np.:
- Wordfence Security
- iThemes Security
- WP Hide & Security Enhancer
📌 Podsumowanie
Ukrycie wersji WordPressa to mały, ale ważny krok w zabezpieczeniu witryny. Choć nie daje pełnej ochrony, zmniejsza ryzyko ataku opartego na znanych podatnościach konkretnej wersji. Połącz to z innymi dobrymi praktykami bezpieczeństwa, a Twoja strona będzie znacznie bezpieczniejsza.
