Come nascondere completamente il numero di versione di wordpress [chiuso]

0

C'è un modo per nascondere completamente il numero di versione di WordPress? Ho provato un paio di trucchi come: nascondere la versione dal meta-generatore e dai CSS aggiungendo le seguenti righe in functions.php del tema corrente:

// remove wp version param from any enqueued scripts
function vc_remove_wp_ver_css_js( $src ) {
    if ( strpos( $src, 'ver=' ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'vc_remove_wp_ver_css_js', 9999 );
add_filter( 'script_loader_src', 'vc_remove_wp_ver_css_js', 9999 );

Il problema è che wpscan è ancora in grado di scoprire la versione utilizzando il fingerprinting avanzato:

WordPress version 4.5.3 identified from advanced fingerprinting

C'è qualche trucco per nascondere la versione anche da wpscan?

    
posta Ahmed M. Taher 11.07.2016 - 11:42
fonte

2 risposte

2

Non conosco tutti i metodi usati da WPScan ma qui è una funzione che uso per rimuovere alcuni dati sulla versione. Forse in combinazione con altri tuoi metodi potrebbe essere una soluzione.

// remove version info from head and feeds
function generator_version_removal() {
    return '';
}
add_filter('the_generator', 'generator_version_removal');

Come è stato osservato nei commenti che la maggior parte degli attaccanti non si preoccuperà di controllare, penso che sia vero. Tuttavia, per quei pochi che controllano, presumo che il loro attacco sia più sofisticato e tu non vuoi essere catturato tra i frutti che pendono solo abbastanza in basso da poterlo afferrare.

Come è stato anche notato nei commenti, WPScan apparentemente controlla più impronte digitali e questo ne copre solo uno. Spero che potrebbe essere quello che ti manca. Forse è solo uno dei tanti.

La mia esperienza con WPScan è limitata, ma forse puoi ottenere un output più dettagliato.

Spero che questo aiuti un po ', ma è solo una parte di quello che stai cercando.

AGGIUNTA: Aggiornamento Emoji . C'era un aggiornamento Emoji con la versione 4.2 (credo 4.2) che faceva parte di un grande aggiornamento di sicurezza. Non riesco a trovare il post su questo al momento, ma ricordo qualcosa su un buco di sicurezza che era in circolazione da un po 'e finalmente è stato risolto tramite un uso intelligente di Emoji. Quando l'aggiornamento è arrivato e c'era così tanta enfasi su Emoji la gente si chiedeva perché e così è stato spiegato che era qualcosa di una copertura per l'aggiornamento della sicurezza. Per farla breve : WP 4.2+ ha un aggiornamento Emoji che consente a WPScan (e altri) di sapere che stai utilizzando almeno quella versione.

ADDITION: (15/07/2016) Un altro plug-in che ho usato, ma il suo scopo principale è la velocità è chiamata Rimuovi stringhe di query da risorse statiche . Inizialmente non avevo ricordato questo plugin, ma poiché la stringa di query predefinita aggiunta ai file JS è il numero di versione di WordPress quando non viene fornita alcuna versione. Con quello come stringa di query per più file, sarebbe un omaggio per vedere quale versione di WP hai.

    
risposta data 11.07.2016 - 16:45
fonte
0

Oltre alla risposta di @KnightHawk in merito a emoji , è sempre buona norma disabilitare questa funzionalità in WordPress (sia dal punto di vista della sicurezza che delle prestazioni: si , carica tonnellate di JavaScript e francamente non è nemmeno così utile dal punto di vista dell'usabilità e dell'esperienza utente).

Uso il seguente codice per completarlo.

<?php
/* --------------------------------------------------*/
/* Disable the emoji's
/* --------------------------------------------------*/
if(!function_exists('bm_disable_emojis')){
function bm_disable_emojis() {
    remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
    remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
    remove_action( 'wp_print_styles', 'print_emoji_styles' );
    remove_action( 'admin_print_styles', 'print_emoji_styles' );    
    remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
    remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );  
    remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
    add_filter( 'tiny_mce_plugins', 'bm_disable_emojis_tinymce' );
}
}
add_action( 'init', 'bm_disable_emojis' );

Ed ecco un altro pezzo di codice, che può essere usato per disabilitare le emoji di TinyMCE:

<?php
/* --------------------------------------------------*/
/* Filter function used to remove the tinymce emoji plugin
/* --------------------------------------------------*/
if(!function_exists('bm_disable_emojis_tinymce')){
function bm_disable_emojis_tinymce( $plugins ) {
    if ( is_array( $plugins ) ) {
        return array_diff( $plugins, array( 'wpemoji' ) );
    } else {
        return array();
    }
}
} 
    
risposta data 13.07.2016 - 09:34
fonte

Leggi altre domande sui tag