Cómo ocultar completamente el número de versión de wordpress [cerrado]

Question

Cómo ocultar completamente el número de versión de wordpress [cerrado]

#1 de KnightHawk (2 votos)
#2 de budiony (0 votos)

0

¿Hay alguna forma de ocultar completamente el número de versión de WordPress? Probé un par de trucos como: ocultar la versión del meta-generador y de CSS agregando las siguientes líneas en functions.php del tema actual:

// remove wp version param from any enqueued scripts
function vc_remove_wp_ver_css_js( $src ) {
    if ( strpos( $src, 'ver=' ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'vc_remove_wp_ver_css_js', 9999 );
add_filter( 'script_loader_src', 'vc_remove_wp_ver_css_js', 9999 );

El problema es que wpscan aún puede descubrir la versión utilizando la huella digital avanzada:

Versión de WordPress 4.5.3 identificada a partir de huellas digitales avanzadas

¿Hay algún truco para ocultar la versión incluso desde wpscan?

wordpress

pregunta Ahmed M. Taher 11.07.2016 - 11:42

fuente

2 respuestas

0

Además de la respuesta de @KnightHawk con respecto a emoji , siempre es una buena práctica deshabilitar esta funcionalidad en WordPress (tanto desde el punto de vista de seguridad como de rendimiento: sí , carga toneladas de de JavaScript y, francamente, incluso no es tan útil desde el punto de vista de la usabilidad y la experiencia del usuario).

Uso el siguiente código para completar eso.

<?php
/* --------------------------------------------------*/
/* Disable the emoji's
/* --------------------------------------------------*/
if(!function_exists('bm_disable_emojis')){
function bm_disable_emojis() {
    remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
    remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
    remove_action( 'wp_print_styles', 'print_emoji_styles' );
    remove_action( 'admin_print_styles', 'print_emoji_styles' );    
    remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
    remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );  
    remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
    add_filter( 'tiny_mce_plugins', 'bm_disable_emojis_tinymce' );
}
}
add_action( 'init', 'bm_disable_emojis' );

Y aquí hay otro fragmento de código, que se puede usar para deshabilitar el emoji del editor TinyMCE:

<?php
/* --------------------------------------------------*/
/* Filter function used to remove the tinymce emoji plugin
/* --------------------------------------------------*/
if(!function_exists('bm_disable_emojis_tinymce')){
function bm_disable_emojis_tinymce( $plugins ) {
    if ( is_array( $plugins ) ) {
        return array_diff( $plugins, array( 'wpemoji' ) );
    } else {
        return array();
    }
}
}

respondido por el budiony 13.07.2016 - 09:34

fuente

Lea otras preguntas en las etiquetas wordpress

Generación y validación de token CSRF ¿Existen ventajas de seguridad al forzar un límite de caracteres de contraseña en el restablecimiento, pero permitiendo caracteres ilimitados en el inicio de sesión con contraseña?

score 2 · Accepted Answer

No conozco todos los métodos utilizados por WPScan pero aquí hay una función que utilizo para eliminar algunos datos sobre la versión. Quizás, junto con sus otros métodos, podría ser una solución.

// remove version info from head and feeds
function generator_version_removal() {
    return '';
}
add_filter('the_generator', 'generator_version_removal');

Como se señaló en los comentarios de que la mayoría de los atacantes no se molestarán en verificar, creo que es cierto. Sin embargo, para aquellos pocos que sí lo comprueban, asumo que su ataque es más sofisticado y no quieres quedar atrapado entre la fruta que cuelga lo suficientemente bajo como para agarrarla.

Como también se señaló en los comentarios, WPScan aparentemente comprueba varias huellas digitales y esto cubre solo una. Con suerte, podría ser el que te estás perdiendo. Quizás sea solo uno de muchos.

Mi experiencia con WPScan es limitada, pero quizás pueda obtener un resultado más detallado.

Espero que esto ayude un poco, es solo una parte de lo que estás buscando.

ADICION: Emoji Update . Hubo una actualización de Emoji con la versión 4.2 (creo que 4.2) que era parte de una gran actualización de seguridad. Parece que no puedo encontrar la publicación al respecto en este momento, pero recuerdo algo sobre un agujero de seguridad que había existido por un tiempo y que finalmente se solucionó a través de un uso inteligente de Emoji. Cuando llegó la actualización y hubo mucho énfasis en Emoji, la gente se preguntó por qué, y así se explicó que era algo así como una cubierta para la actualización de seguridad. Breve historia corta : WP 4.2+ tiene una actualización de Emoji que permitirá que WPScan (y otros) sepan que está ejecutando al menos esa versión.

ADICIÓN: (2016-07-15) Otro complemento que he estado usando, pero su propósito principal es que la velocidad se llama Eliminar cadenas de consulta de recursos estáticos . No había recordado este complemento al principio, pero como la cadena de consulta predeterminada que se adjunta a los archivos JS es el número de versión de WordPress cuando no se proporciona ninguna otra versión. Con eso como la cadena de consulta para varios archivos, sería un regalo para ver qué versión de WP tiene.