Bezpieczeństwo najpopularniejszego obecnie systemu zarządzania treścią WordPress można znacznie zwiększyć, dokręcając dwie małe śrubki. Zajmuje to tylko 5 minut i dwie linie kodu. Chociaż problem można rozwiązać za pomocą różnych wtyczek, celowo ograniczam się do rozwiązań bez wtyczek.
Z jednej strony, metatag ujawnia
<meta content="WordPress 3.4.1" name="generator" />
najnowszą wersję i można je łatwo odczytać za pomocą skrobaka. Jeśli pojawiła się krytyczna luka w zabezpieczeniach dla specjalnej wersji WordPressa, łatwo jest wyśledzić tysiące witryn za pomocą dokładnie tej wersji. Dlatego należy usunąć informacje za pomocą następującego haka:
remove_action('wp_head', 'wp_generator');
Drugim problemem jest gadatliwość dashboardu, jeśli chcesz się zalogować, pośrednio podaje się informację o tym, czy nazwa użytkownika istnieje. Komunikaty o błędach można łatwo wykorzystać z odpowiednimi programami, aby zwiększyć prawdopodobieństwo trafienia atakiem brute force. Dlatego powinieneś również podjąć działanie i wstawić następujący hak:
add_filter('login_errors','__return_null');
Wspomniane środki zwiększają bezpieczeństwo Twojego bloga i są również łatwe do wdrożenia. WordPress jest uważany za bezpieczny w standardowej konfiguracji, ale jego powszechne użycie i popularność sprawiają, że zawsze jest celem dla potencjalnych hakerów.