現在位置: 首頁 > 電腦科技 > wordpress > 正文
wordpress 隱藏版本訊息
2010年08月08日 wordpress ⁄ 共 1355字 暂无评论 ⁄ 被围观 2,968 views+

 

 

<meta name=”generator” content=”WordPress 2.9.*” />

這一句在你博客的源代碼中一顯示,就給很多黑客提供了方便,你博客的安全性又下降了一個點,如果有的博友按照我在前面的WordPress的三個必須安全措施文章中說過的,把主題文件夾下header.php文件裡的<?php bloginfo(』version'); ?>語句刪除了,那你可能在源代碼中還會看到你的版本信息,wordpress版本信息洩露這一問題早在2.7版本之前就已經被人發現,可該問題在2.9的版本中仍然存在,我也是剛剛重視,瘋狂王子勸博友們盡快把自己的版本信息刪除,以免後患。

 

博客的源代碼中顯示版本信息如

<meta name=”generator” content=”WordPress 2.9.*” />

,主要是wordpress核心文件 default-filters.php 在加載默認的動作時有這樣一句代碼:add_action( 『wp_head', 『wp_generator'); ,所以它會向meta中添加了該wordpress的版本信息,要去掉這一版本信息的話,在模板的function.php文件中添加下面代碼就可以了(如果沒有function.php文件,那就添加在header.php中):

 

/** 刪除header中wp的版本號 */

remove_action('wp_head','wp_generator');

注意:該段代碼必須添加在<?php……?>的裡面才可以,如果接在?>後面的話,會使你的博客主頁發生變形,並在主頁最上方顯示你剛剛添加進去的這些內容,中文顯示亂碼。添加的地方必須正確。另外,複製後一定要看好每一個符號,不能是中文符號,一定要是英文狀態下的符號。

另外一個問題就是留言文本中支持html格式,這可是個大問題,如果可惡之人使用<iframe>標籤包含一個帶有病毒的頁面,發送到你的網站,後果就非常嚴重了。所以,希望各位博友的在模板function.php文件中也加入下面這段代碼(有的模板可能已經設置了):

 

/** 以文本格式顯示留言,如以html格式顯示留言,則可能存在漏洞 */

add_filter( 'pre_comment_content', 'wp_specialchars' );

注意,複製後一定要看好每一個符號,不能是中文符號,一定要是英文狀態下的符號。

 

除此之外,還需要檢查一下header.php文件,如果看到了有這行代碼:

<?php bloginfo('version'); ?>

記得要刪除哦。

最後,如果需要手動修改wordpress的版本信息,打開wp-includes文件夾,找到並打開version.php文件,修改$wp_version的值就可以了。如果你想保持現有的版本號,同時還想去掉Wordpress在登陸後台的那個提示,那麼我們需要打開wp-admin文件夾,再打開includes文件夾,找到並打開update.php文件,查找:

echo "<div class='update-nag'>$msg</div>";

將其刪除就可以了。