Existen un millon de recomendaciones que debemos considerar al utilizar uno de los CMS mas populares de la actualidad,y por ende, blanco preferido de los hackers. Y sin lugar a duda, la mas importante es mantener actualizado a la última versión el core y así garantizar que se tiene el control, por lo menos, sobre las vulnerabilidades conocidas.
Pero para no dejar allanado el camino, con tres sencillos pasos podemos ocultar la versión de nuestro WordPress complicando el primer paso necesario para atacar un blanco: la obtención de información.

Cómo obtener la versión actual del WP:

La primera es mediante el tag “generator” incluido en el header del sitio. El cual se imprime a partir de una función que puede ser anulada agregando una linea en el header.php de nuestro template actual:

Código fuente con el tag “Generator” en el header


<?php
remove_action('wp_head', 'wp_generator');
?>

Luego de aplicado el parche, el tag “Generator” no existe

Otra fuente de información es el archivo readme.html que queda en la raiz del sitio luego de instalar o actualizar el sistema. Esta acción es mucho mas sencilla. Borramos el archivo y así evitamos que pueda ser leído.

Archivo Readme.html

Pero si leemos el código fuente de cualquiera de las páginas de nuestro sitio, inclusive la página de administración, podemos observar que la versión de WP es pasada como parámetro en varios lugares, para evitar esto instalaremos un plugin que nos ayuda a controlar, entre otras cosas, estas urls delatoras.

El plugin se llama “Secure WordPress by WebsiteDefender” y puede ser instalado directamente desde la interface de administración del WordPress. Una vez instalado y activado se debe tildar la opción “WP Version on Scripts/Styles”.

 

La versión 3.4.1 se repite en varias de las URLs como parámetro

Configuración del Plugin

 

URLs sin número de versión luego del plugin activado