No conozco todos los métodos utilizados por WPScan pero aquí hay una función que utilizo para eliminar algunos datos sobre la versión. Quizás, junto con sus otros métodos, podría ser una solución.
// remove version info from head and feeds
function generator_version_removal() {
return '';
}
add_filter('the_generator', 'generator_version_removal');
Como se señaló en los comentarios de que la mayoría de los atacantes no se molestarán en verificar, creo que es cierto. Sin embargo, para aquellos pocos que sí lo comprueban, asumo que su ataque es más sofisticado y no quieres quedar atrapado entre la fruta que cuelga lo suficientemente bajo como para agarrarla.
Como también se señaló en los comentarios, WPScan aparentemente comprueba varias huellas digitales y esto cubre solo una. Con suerte, podría ser el que te estás perdiendo. Quizás sea solo uno de muchos.
Mi experiencia con WPScan es limitada, pero quizás pueda obtener un resultado más detallado.
Espero que esto ayude un poco, es solo una parte de lo que estás buscando.
ADICION: Emoji Update .
Hubo una actualización de Emoji con la versión 4.2 (creo que 4.2) que era parte de una gran actualización de seguridad. Parece que no puedo encontrar la publicación al respecto en este momento, pero recuerdo algo sobre un agujero de seguridad que había existido por un tiempo y que finalmente se solucionó a través de un uso inteligente de Emoji. Cuando llegó la actualización y hubo mucho énfasis en Emoji, la gente se preguntó por qué, y así se explicó que era algo así como una cubierta para la actualización de seguridad. Breve historia corta : WP 4.2+ tiene una actualización de Emoji que permitirá que WPScan (y otros) sepan que está ejecutando al menos esa versión.
ADICIÓN: (2016-07-15) Otro complemento que he estado usando, pero su propósito principal es que la velocidad se llama Eliminar cadenas de consulta de recursos estáticos . No había recordado este complemento al principio, pero como la cadena de consulta predeterminada que se adjunta a los archivos JS es el número de versión de WordPress cuando no se proporciona ninguna otra versión. Con eso como la cadena de consulta para varios archivos, sería un regalo para ver qué versión de WP tiene.