WordPress是一款建基於PHP和MySQL的自由開源內容管理系統(CMS),在全球數百萬網站中被廣泛採用。其開源特性使得其在穩定性和安全性方面得到了良好的保證。然而,正是因為其廣泛的應用和開源的本質,WordPress也成為了駭客關注的對象之一,進而成為了最常受到攻擊的網站系統之一。
儘管WordPress在穩定性和安全性上有著良好的保證,但並不存在完美的程式。每個WordPress版本都可能存在著潛在的安全漏洞,這為駭客提供了可利用的機會。一旦駭客得知網站運行的WordPress版本,就可以利用已知的漏洞進行攻擊。因此,保持WordPress及其相關組件的及時更新,以及阻止駭客得知WordPress的版本資訊,對於網站的安全性至關重要。
如何得知WordPress的版本資訊
在開始隱藏WordPress版本前,先介紹一款名為Wappalyzer的瀏覽器擴充功能。它能幫助使用者快速得知網站所使用的技術、平台、程式語言,以及網站內使用的各種工具、外掛、廣告聯播網等等。
如上所示,圖一是沒有隱藏WordPress版本資訊的畫面,而圖二則是經過隱藏後的畫面。可以很明顯地發現,若網站沒有洩漏WordPress的版本資訊,則Wappalyzer並無法得知確切的版本號。同理,駭客也就無法利用已知的版本漏洞進行攻擊,網站的安全性也就得到多一層的保障。
如何隱藏WordPress的版本資訊
在WordPress系統中,一共有四個地方紀錄著版本資訊。
- 網站根目錄下的readme.html文件。
- 網站原始碼<meta>標籤內。
- 網站RSS feeds內。
- 腳本和樣式表內。
隱藏WordPress的版本資訊一共分兩部分,手動刪除readme.html文件和修改主題的functions.php檔案。
手動刪除readme.html文件
修改主機檔案的方法眾多,此處介紹一個最簡單的做法,那就是直接在WordPress安裝File Manager外掛。
安裝好外掛後,進到外掛頁面應該就可以看到readme.html檔案,接下來右鍵刪除即可。
修改主題的functions.php檔案
首先,請確定主題已關閉自動更新(較不推薦),或啟用子主題。因為隨著佈景主題的更新,原本已經修改過的functions.php檔案可能會遭到覆蓋,造成隱藏WordPress版本的功能失效。故強烈建議若原始佈景主題有提供子主題,則應優先啟用之。其本身繼承父主題的所有功能,但不受父主題的更新影響,故可保留一切客製化的功能設定。
接著登入WordPress後台。在左側選單列中點選「外觀」(Appearance)>「主題文件編輯器」(Theme File Editor)。選擇子主題中的functions.php檔案,並加入以下程式碼。
// remove version from head
remove_action('wp_head', 'wp_generator');
// remove version from rss
add_filter('the_generator', '__return_empty_string');
// remove version from scripts and styles
function collectiveray_remove_version_scripts_styles($src) {
if (strpos($src, 'ver=')) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('style_loader_src', 'collectiveray_remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'collectiveray_remove_version_scripts_styles', 9999); 結束後記得點擊「更新檔案」以儲存更改。
總結
在保護網站安全方面,隱藏WordPress版本是一項重要的消極安全措施。透過隱藏WordPress版本號,可以有效防止駭客利用已知的漏洞進行攻擊,提高網站的安全性。然而,使用者應該意識到,僅僅隱藏版本號並不足以確保網站的整體安全。因此,還需要採取積極的安全措施,例如安裝防毒外掛、加密連線、定期備份等。這些積極的安全措施能夠更全面地保護網站,提高其抵禦駭客攻擊的能力。總而言之,隱藏WordPress版本只是安全保護的一部分,除此之外還需採取多重防護措施,才能真正確保網站的安全性。
防毒軟體有推薦哪一種 適合保護網站的嗎?
如果你的網站是用WordPress架設的話,那可以考慮用看看Wordfence Security哦,它有免費版本,我覺得還不錯。