[WordPress] Hướng dẫn giấu thông tin phiên bản version WordPress

1948

Nếu bạn thường không cập nhật hệ thống CMS WordPress của site, thì các thông tin về phiên bản version hệ thống CMS WordPress bạn đang sử dụng cũng có thể mang lại những mối nguy nhất định. Vì sao ư ? Thường thì các bản cập nhật chương trình ngoài việc bổ sung các tính năng mới, thì còn nhằm fix các lỗ hổng bảo mật đã phát hiện trước đó. Bây giờ kẻ xấu biết được thông tin phiên bản WordPress của site bạn thì hắn sẽ tìm danh sách các lỗ hỗng liên quan đến phiên bản đó xem có khai thác được không.

-> Vậy bạn nên che giấu đi thông tin phiên bản hệ thống CMS WordPress nhằm hạn chế khả năng bị tấn công.

Hm, bây giờ bạn sẽ nghĩ “vậy thông tin phiên bản WordPress coi ở đâu nào ?“. Đơn giản lắm, con số phiên bản của WordPress được thể hiện ở 4 khu vực website :

1. Thẻ “generator meta”

– Khi bạn view source của webiste WordPress, bạn hãy thử tìm thẻ meta có tên “generator” xem, nếu chưa bị giấu đi thì sẽ hiển thị ra thông tin như dưới :

<meta name="generator" content="WordPress 4.5.3" />

 
2. Query strings trên thông tin resource css/js

– Bạn thử đăng nhập trang quản trị của trang web WordPress : www.vidu.com/wp-admin/
– Các bạn view source và tìm chuỗi kí tự : “ver=” , sẽ thấy thông tin version WordPress tương ứng.

<link rel='stylesheet' id='buttons-css' href='https://www.vidu.com/wp-includes/css/buttons.min.css?ver=4.5.3' type='text/css' media='all' />
2
<link rel='stylesheet' id='dashicons-css' href='https://www.vidu.com/wp-includes/css/dashicons.min.css?ver=4.5.3' type='text/css' media='all' />
3
<link rel='stylesheet' id='login-css' href='https:/www.vidu.com/wp-admin/css/login.min.css?ver=4.5.3' type='text/css' media='all' />

 
3. Thẻ “generator” trong RSS feeds

– Bạn thử truy cập RSS feed của site WordPress : www.vidu.com/feed/
– Các bạn view source và tìm chuỗi kí tự : “generator” , sẽ thấy thông tin version WordPress tương ứng.

<generator>https://wordpress.org/?v=4.5.3</generator>

 
4. Đọc nội dung file “readme.html”

– Thường thì khi cài đặt WordPress ban đầu, sẽ được thêm 1 file “readme.html” tại thư mục root của mã nguồn website. Nếu mà bạn không xoá hoặc hạn chế truy cập file này, thì dễ dàng để người khác đọc được file này bằng cách truy cập trực tiếp link.

http://www.example.com/readme.html

 
Cách xoá bỏ số phiên bản WordPress

Để làm chuyện này thì bạn cần thêm đoạn code sau vào file functions.php thuộc thư mục theme của bạn. Đoạn code này không ảnh hưởng gì xấu đến hoạt động website WordPress của bạn đâu.

# ./wp-content/themes/<ten_theme_dang_xai>/functions.php
/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'remove_wp_version_strings' );
add_filter( 'style_loader_src', 'remove_wp_version_strings' );

/* Hide WP version strings from generator meta tag */
function wp_remove_version() {
return '';
}
add_filter('the_generator', 'wp_remove_version');

 
Đoạn code trên sẽ xoá bỏ thông tin về số phiên bản của CMS WordPress ở cả 3 khu vực kể trên khỏi website. Hãy kiểm tra trước và sau khi thêm vào để thấy sự hiệu quả.

Các bạn cũng nên nhớ là cách này chỉ hạn chế các thông tin cần thiết cho kẻ xấu tấn công website bạn trong lúc hắn tìm các thông tin liên quan và cần thiết để có hướng tấn công phù hợp. Tốt nhất vẫn nên update các plugin và theme lên các phiên bản mới nhất.

Cám ơn các bạn đã theo dõi bài viết.

Previous article[cPanel] Hướng dẫn tăng dung lượng phân vùng /tmp (/usr/tmpDSK) trên cPanel/WHM
Next article[WordPress] Hướng dẫn xoá biểu tượng WordPress.org link trên thanh toolbar Admin WordPress
Bạn đang theo dõi website "https://cuongquach.com/" nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Quản Trị Hệ Thống Dịch Vụ & Mạng, được xây dựng lại dưới nền tảng kinh nghiệm của bản thân mình, Quách Chí Cường. Hy vọng bạn sẽ thích nơi này !

LEAVE A REPLY

Please enter your comment!
Please enter your name here