Sicherheitslücke WordPress-Version?

25. November 2008 · 1 comment

In diesem Artikel zeige ich, wie man die WordPress-Versionsnummer aus dem HTML-Quelltext und dem RSS-Feed entfernt, um Hackern keine Informationen zu liefern.

Dass WordPress keine Security Patches für ältere Versionen bereitstellt, ist bekannt. Oder sollte es zumindest sein. Das ist auch der wichtigste Grund, warum man mit den Releases immer up-to-date bleiben und seine WordPress-Installation zeitnah aktualisieren sollte.

Was aber, wenn man – z.B. bei Fremdprojekten – darauf keinen Einfluss hat, etwa weil ein Kunde keinen Wartungsvertrag abgeschlossen hat oder man sich bei einem Freundschaftsdienst für Bekannte nicht zu lebenslangem kostenlosem Support verpflichten möchte?

Für diesen Fall liest man immer wieder mal die Empfehlung, die WordPress-Versionsnummer zu entfernen, oder wenn das nicht möglich ist, wenigstens zu verschleiern. Schließlich will man einem Cracker ja nicht gleich unter die Nase reiben, dass man eine veraltete Version verwendet. Der kennt ja deren Sicherheitslücken und sucht nur danach.

Aber wie macht man das?

Der HTML-Quelltext

Die einfachste Möglichkeit ist es, die Zeile <meta name="generator" content="WordPress x.y" /> aus dem Header-Template zu entfernen. Das funktioniert aber nur bei Uraltversionen, denn seit Version 2.5 wird die Zeile von einer Filteraktion im WordPress Core generiert, die per remove_action('wp_head', 'wp_generator'); ausgeknipst werden muss. Einzufügen ist der Remove-Befehl in die Datei function.php im Verzeichnis des verwendeten Themes. Dann bleibt sie auch nach einem WordPress-Update erhalten.

Entfernung der Versionsnummer aus dem RSS-Feed

Damit könnte man es bewenden lassen, wenn da nicht noch der RSS-Feed wäre, der im generator tag des XML-Quelltextes seinen Urheber offenbart. Dazu schreibt (oder kopiert man sich) eine kleine PHP-Funktion:

function no_generators() {
return; }

add_filter('the_generator', 'no_generators');

Die drei Zeilen kopiert man sich wieder in die functions.php des Themes und wo im Feed vorher noch die Versionsnummer stand, ist jetzt gähnende Leere.

Dank an „Reiser“ für den Tip.

Verschleierung durch ein PlugIn

Wer sich solche Code-Manipulationen nicht zutraut, sondern lieber auf ein Plug In setzt, der findet bei Frank Bültge das Plug In Secure WordPress, das diese Funktion (und noch einige andere mehr) eingebaut hat.

So, das war mein erstes kleines WordPress-HowTo. Ich würde mich freuen, wenn ihr mir in den Kommentarbereich schreiben würdet, was ihr davon haltet.

Was ich von der Versionsnummern-Vertuschung halte, kann ich euch jetzt schon mal sagen: nicht allzuviel. 🙂 Wer wirklich in ein System einbrechen will, der lässt sich durch solche Kinkerlitzchen sicher nicht davon abhalten. Außerdem erkennt man viele WordPress-Generationen auch schon an der Gestaltung der Log-In-Maske.

{ 1 comment }

1 fdb 6. Januar 2009 um 16:35 Uhr

Comments on this entry are closed.

Previous post:

Next post: