<meta name=”generator” content=”WordPress 2.9.*” /> |
這一句在你博客的源代碼中一顯示,就給很多黑客提供了方便,你博客的安全性又下降了一個點,如果有的博友按照我在前面的WordPress的三個必須安全措施文章中說過的,把主題文件夾下header.php文件裡的<?php bloginfo(』version'); ?>語句刪除了,那你可能在源代碼中還會看到你的版本信息,wordpress版本信息洩露這一問題早在2.7版本之前就已經被人發現,可該問題在2.9的版本中仍然存在,我也是剛剛重視,瘋狂王子勸博友們盡快把自己的版本信息刪除,以免後患。
博客的源代碼中顯示版本信息如
<meta name=”generator” content=”WordPress 2.9.*” /> |
,主要是wordpress核心文件 default-filters.php 在加載默認的動作時有這樣一句代碼:add_action( 『wp_head', 『wp_generator'); ,所以它會向meta中添加了該wordpress的版本信息,要去掉這一版本信息的話,在模板的function.php文件中添加下面代碼就可以了(如果沒有function.php文件,那就添加在header.php中):
/** 刪除header中wp的版本號 */
remove_action('wp_head','wp_generator');
注意:該段代碼必須添加在<?php……?>的裡面才可以,如果接在?>後面的話,會使你的博客主頁發生變形,並在主頁最上方顯示你剛剛添加進去的這些內容,中文顯示亂碼。添加的地方必須正確。另外,複製後一定要看好每一個符號,不能是中文符號,一定要是英文狀態下的符號。
另外一個問題就是留言文本中支持html格式,這可是個大問題,如果可惡之人使用<iframe>標籤包含一個帶有病毒的頁面,發送到你的網站,後果就非常嚴重了。所以,希望各位博友的在模板function.php文件中也加入下面這段代碼(有的模板可能已經設置了):
/** 以文本格式顯示留言,如以html格式顯示留言,則可能存在漏洞 */
add_filter( 'pre_comment_content', 'wp_specialchars' );
注意,複製後一定要看好每一個符號,不能是中文符號,一定要是英文狀態下的符號。
除此之外,還需要檢查一下header.php文件,如果看到了有這行代碼:
<?php bloginfo('version'); ?>
記得要刪除哦。
最後,如果需要手動修改wordpress的版本信息,打開wp-includes文件夾,找到並打開version.php文件,修改$wp_version的值就可以了。如果你想保持現有的版本號,同時還想去掉Wordpress在登陸後台的那個提示,那麼我們需要打開wp-admin文件夾,再打開includes文件夾,找到並打開update.php文件,查找:
echo "<div class='update-nag'>$msg</div>";
將其刪除就可以了。