Blog

Supprimer le meta generator de WordPress

Écrit le 13 11 2012 par Kévin MET _

Aujourd’hui on va se faire un petit billet pour parler du meta generator de WordPress. Si vous ne savez pas ce que c’est, il suffit de vous rendre sur votre blog sous WordPress avec firefox, vous appuyez sur CTRL+U, vous obtenez donc les sources de la page. Ensuite vous faîtes CTRL+F pour obtenir la recherche rapide qui s’affiche en bas à gauche et vous allez taper « generator » et voilà, vous êtes sur la ligne meta qui indique le generator.

Pour être plus précis, le meta generator est indiqué sur la plupart des CMS et permet d’identifier sur quel CMS tourne le site ainsi que sa version. Dans beaucoup de situation cela peut être pratique mais lorsqu’il s’agit d’une aide pour quelqu’un qui veut hacker votre site, ça le fait beaucoup moins. En effet, lorsque l’on sait sur quel version le site cible tourne cela permet de beaucoup plus simplement cibler une attaque. Par exemple la faille du reset password sur la version 2.8.3 de WordPress qui permettait de faire un reset du password en spécifiant une url précise. Ok, ce n’est pas une attaque mais ça peut être super chiant. Et il existe sur pratiquement chaque version de WordPress des failles XSS.

Si vous mettez votre blog à jour régulièrement cette astuce ne vous sera pas trop utile, bien que le temps de sortir le correctif puisse suffire à ce que vous subissiez une attaque. On va donc voir plusieurs méthodes pour enlever le generator ou plus simplement enlever la version de WordPress utilisée.

On commence par la méthode radicale qui permet de supprimer totalement la ligne du meta generator :

ajoutez ceci dans le fichier functions.php de votre thème :


remove_action(‘wp_head’, ‘wp_generator’);

Pour ce qui est de la seconde méthode qui enlève simplement la version de WordPress, il s’agit de deux plugins :

  • Le premier est disponible à cette adresse : http://just-thinkin.net/2008/04/wordpress-25-plugin-keeps-the-version-out-of-source/
  • Le second est disponible à cette adresse : http://blogsecurity.net/wordpress/bs-wp-noversion
♥ Partage sur tes réseaux sociaux ♥
Kévin MET
Kévin MET

Auteur de ce blog et gérant de la société MNT-TECH, je publie sur ce blog lorsque le temps me le permet et lorsqu'un sujet qui me parait intéressant n'a pas encore été abordé en français. Toutes les informations techniques présentes sur cette page peuvent être réutilisées moyennant le fait de citer la source.