%20--%3e%3csvg%20version='1.1'%20id='Layer_1'%20xmlns='http://www.w3.org/2000/svg'%20xmlns:xlink='http://www.w3.org/1999/xlink'%20x='0px'%20y='0px'%20viewBox='0%200%20120.17%2045.43'%20style='enable-background:new%200%200%20120.17%2045.43;'%20xml:space='preserve'%3e%3cg%3e%3cpath%20d='M32.33,0v16.13c0,2.21-0.42,4.3-1.26,6.26c-0.84,1.97-2,3.7-3.49,5.18c-1.49,1.49-3.2,2.65-5.15,3.49%20c-1.94,0.84-4.04,1.26-6.3,1.26c-2.21,0-4.3-0.42-6.26-1.26c-1.97-0.84-3.68-2-5.15-3.49c-1.46-1.49-2.62-3.21-3.46-5.18%20C0.42,20.42,0,18.34,0,16.13V0h6.41v16.13c0,1.34,0.25,2.62,0.76,3.82c0.5,1.2,1.2,2.24,2.09,3.13c0.89,0.89,1.92,1.58,3.1,2.09%20c1.18,0.5,2.44,0.76,3.78,0.76c1.34,0,2.62-0.25,3.82-0.76c1.2-0.5,2.24-1.2,3.13-2.09c0.89-0.89,1.58-1.93,2.09-3.13%20c0.5-1.2,0.76-2.47,0.76-3.82V0H32.33z'%20fill='%232563eb'%20/%3e%3cpath%20d='M50.4,0.14c2.26,0,4.36,0.42,6.3,1.26c1.94,0.84,3.66,1.99,5.15,3.46c1.49,1.46,2.65,3.17,3.49,5.11%20c0.84,1.94,1.26,4.04,1.26,6.3c0,2.21-0.42,4.3-1.26,6.26c-0.84,1.97-2,3.7-3.49,5.18c-1.49,1.49-3.2,2.65-5.15,3.49%20c-1.94,0.84-4.04,1.26-6.3,1.26h-9.72v12.96h-6.41V16.27c0-2.26,0.42-4.36,1.26-6.3c0.84-1.94,1.99-3.65,3.46-5.11%20c1.46-1.46,3.18-2.62,5.15-3.46C46.1,0.56,48.19,0.14,50.4,0.14z%20M54.22,25.31c1.2-0.5,2.24-1.2,3.13-2.09%20c0.89-0.89,1.58-1.93,2.09-3.13c0.5-1.2,0.76-2.47,0.76-3.82c0-1.34-0.25-2.6-0.76-3.78c-0.5-1.18-1.2-2.21-2.09-3.1%20c-0.89-0.89-1.93-1.58-3.13-2.09c-1.2-0.5-2.47-0.76-3.82-0.76c-1.34,0-2.6,0.25-3.78,0.76c-1.18,0.5-2.21,1.2-3.1,2.09%20c-0.89,0.89-1.58,1.92-2.09,3.1c-0.5,1.18-0.76,2.44-0.76,3.78v9.79h9.72C51.74,26.06,53.02,25.81,54.22,25.31z'%20fill='%232563eb'/%3e%3cpath%20d='M94.03,20.95l4.54,4.54l-2.23,2.23c-1.54,1.54-3.29,2.71-5.26,3.53c-1.97,0.82-4.03,1.22-6.19,1.22%20c-2.16,0-4.22-0.41-6.19-1.22c-1.97-0.82-3.72-1.99-5.26-3.53c-1.58-1.58-2.76-3.37-3.53-5.36c-0.77-1.99-1.15-4.02-1.15-6.08%20c0-2.06,0.38-4.08,1.15-6.05c0.77-1.97,1.94-3.74,3.53-5.33s3.37-2.77,5.36-3.56c1.99-0.79,4.02-1.19,6.08-1.19%20c2.06,0,4.09,0.4,6.08,1.19c1.99,0.79,3.78,1.98,5.36,3.56l2.23,2.23L80.64,25.06c1.82,0.91,3.75,1.21,5.8,0.9%20c2.04-0.31,3.83-1.24,5.36-2.77L94.03,20.95z%20M77.98,9.36c-1.92,1.92-2.88,4.22-2.88,6.91c0,1.49,0.33,2.9,1.01,4.25%20c0.58-0.58,1.45-1.45,2.63-2.63c1.18-1.18,2.42-2.42,3.74-3.74c1.32-1.32,2.59-2.58,3.82-3.78c1.22-1.2,2.17-2.14,2.84-2.81%20c-1.83-0.91-3.76-1.22-5.8-0.94C81.3,6.91,79.51,7.82,77.98,9.36z'%20fill='%232563eb'%20/%3e%3cpath%20d='M120.17,0v6.41h-3.24c-1.35,0-2.61,0.25-3.78,0.76c-1.18,0.5-2.21,1.2-3.1,2.09c-0.89,0.89-1.58,1.92-2.09,3.1%20c-0.5,1.18-0.76,2.44-0.76,3.78v16.2h-6.48v-16.2c0-2.26,0.42-4.36,1.26-6.3c0.84-1.94,2-3.65,3.49-5.11%20c1.49-1.46,3.21-2.62,5.18-3.46c1.97-0.84,4.06-1.26,6.27-1.26H120.17z'%20fill='%232563eb'/%3e%3c/g%3e%3c/svg%3e){kind=small}
Domyślna konfiguracja WordPressa sprawia, że numer jego wersji jest publicznie widoczny w kodzie źródłowym Twojej strony. Choć może się to wydawać nieistotnym szczegółem, w rzeczywistości jest to cenna informacja dla potencjalnych atakujących.
W tym kompleksowym poradniku pokażemy, dlaczego warto ukryć wersję WordPressa, jak to zrobić krok po kroku za pomocą kodu lub wtyczek, a także wyjaśnimy, jakie są ograniczenia tej metody.
Główne zagrożenie: Jak atakujący wykorzystują numer wersji?
Ujawnianie numeru wersji Twojego WordPressa to proszenie się o kłopoty. Działa to na zasadzie “security through obscurity” (bezpieczeństwo przez zaciemnianie), która sama w sobie nie jest wystarczającą ochroną, ale stanowi ważną warstwę obrony.
Główne zagrożenie polega na tym, że hakerzy używają zautomatyzowanych botów do skanowania tysięcy stron internetowych w poszukiwaniu konkretnych, przestarzałych wersji WordPressa, które posiadają znane luki w zabezpieczeniach.
Przykład ataku: Załóżmy, że wersja WordPress 5.7.1 miała krytyczną lukę bezpieczeństwa, która została naprawiona w wersji 5.7.2. Atakujący może:
- Użyć skryptu, aby znaleźć wszystkie strony, które w kodzie źródłowym deklarują wersję
5.7.1. - Uruchomić zautomatyzowany atak wykorzystujący tę konkretną lukę na wszystkich znalezionych stronach.
Ukrywając numer wersji, Twoja strona nie pojawi się na takiej liście, co znacznie zmniejsza ryzyko masowego, zautomatyzowanego ataku.
Gdzie WordPress ujawnia swoją wersję?
Zanim przejdziemy do rozwiązań, zidentyfikujmy, gdzie te informacje się pojawiają:
- Meta tag
generator: W sekcji<head>Twojej strony znajduje się linia podobna do tej:<meta name="generator" content="WordPress 6.5.5" />. - Parametry
ver=x.x.x: Na końcu linków do plików CSS i JavaScript dołączany jest parametr wersji, np.style.css?ver=6.5.5. - Kanały RSS: Pliki
feedrównież mogą zawierać informację o wersji generatora.
Metoda 1: Modyfikacja pliku functions.php (Zalecane)
Jest to najczystsza i najbardziej wydajna metoda, ponieważ nie wymaga instalowania dodatkowej wtyczki. Polega na dodaniu kilku linijek kodu do pliku functions.php Twojego motywu.
Ostrzeżenie: Edytuj plik functions.php bezpiecznie!
- Używaj motywu potomnego (Child Theme): Zmiany wprowadzane bezpośrednio w pliku
functions.phpgłównego motywu zostaną nadpisane i utracone podczas jego aktualizacji. Zawsze pracuj na motywie potomnym. - Zrób kopię zapasową: Przed wprowadzeniem jakichkolwiek zmian, stwórz kopię zapasową pliku.
- Błędy mogą uszkodzić stronę: Nawet drobny błąd składni (np. brakujący średnik) może spowodować “biały ekran śmierci” (white screen of death).
Krok-po-kroku: Jak dodać kod?
- Przejdź do panelu administracyjnego WordPress.
- Wybierz z menu
Wygląd>Edytor plików motywu. - Po prawej stronie, w sekcji “Pliki motywu”, znajdź i kliknij
functions.php(Funkcje motywu). - Przewiń na sam dół pliku i wklej poniższy kod.
- Kliknij “Zaktualizuj plik”.
Kompletny kod do functions.php
/**
* Ukrywa wersję WordPressa, aby zwiększyć bezpieczeństwo.
*
* Ta funkcja zbiorcza wykonuje trzy zadania:
* 1. Usuwa meta tag 'generator' z sekcji <head>.
* 2. Usuwa informację o wersji z kanałów RSS.
* 3. Usuwa parametr '?ver=' z adresów URL skryptów (JS) i stylów (CSS).
*/
function uper_remove_wordpress_version() {
// Usuń meta tag generator
remove_action('wp_head', 'wp_generator');
// Usuń wersję z RSS
add_filter('the_generator', '__return_empty_string');
// Usuń wersję z CSS i JS
// Ta funkcja-callback zostanie użyta dla obu filtrów
$remove_version_callback = function($src) {
if (strpos($src, 'ver=')) {
$src = remove_query_arg('ver', $src);
}
return $src;
};
add_filter('style_loader_src', $remove_version_callback);
add_filter('script_loader_src', $remove_version_callback);
}
add_action('after_setup_theme', 'uper_remove_wordpress_version');Zauważ, że cały kod został opakowany w jedną funkcję, która jest uruchamiana przez hak after_setup_theme, co jest dobrą praktyką.
Metoda 2: Użycie wtyczek bezpieczeństwa (dla początkujących)
Jeśli nie czujesz się komfortowo edytując kod, możesz skorzystać z wtyczek, które wykonają tę pracę za Ciebie. Jest to również dobre rozwiązanie, ponieważ oferują one kompleksowe zabezpieczenia.
- WP Hide & Security Enhancer: To wtyczka specjalizująca się w ukrywaniu różnych domyślnych ścieżek i informacji WordPressa.
- Wordfence Security: Jeden z najpopularniejszych kombajnów do zabezpieczeń. Chociaż jego głównym celem jest zapora (firewall) i skaner malware, opcje “Hardening” często zawierają funkcję ukrywania wersji.
- Sucuri Security: Kolejna popularna wtyczka, która w sekcji “Hardening” pozwala na wyłączenie pokazywania wersji WordPressa jednym kliknięciem.
Zaletą korzystania z kompleksowej wtyczki jest to, że ukrycie wersji to tylko jedna z wielu funkcji ochronnych, które zyskujesz.
Ograniczenia metody: Czego ukrycie wersji NIE zapewni?
Musisz mieć świadomość, że “bezpieczeństwo przez zaciemnianie” ma swoje granice. Zdeterminowany haker wciąż może próbować odgadnąć wersję Twojego WordPressa, na przykład poprzez:
- Analizę unikalnych dla danej wersji plików JavaScript lub ich zawartości.
- Sprawdzanie zmian w strukturze HTML, które są charakterystyczne dla konkretnych wydań.
- Analizę pliku
readme.htmlw głównym katalogu, jeśli nie został usunięty.
Ukrywanie wersji skutecznie chroni przed masowymi, zautomatyzowanymi atakami, ale nie jest substytutem solidnej strategii bezpieczeństwa.
Podsumowanie: Aktualizacje to Twój absolutny priorytet
Ukrycie wersji WordPressa to mądry i prosty krok, który utrudnia życie amatorom i zautomatyzowanym botom. Pamiętaj jednak, że żadna technika ukrywania nie zastąpi najważniejszej zasady bezpieczeństwa: regularnych aktualizacji.
Zawsze utrzymuj rdzeń WordPressa, wtyczki i motywy w najnowszych, stabilnych wersjach. To właśnie aktualizacje zawierają poprawki krytycznych luk bezpieczeństwa.
Często zadawane pytania
Czy ukrycie wersji WordPressa wpłynie na działanie mojej strony?
Nie, przedstawione metody są bezpieczne i nie powinny wpływać na funkcjonalność Twojej strony. Usuwają one jedynie metadane, które nie są potrzebne do prawidłowego renderowania witryny. W rzadkich przypadkach niektóre, źle napisane wtyczki mogą polegać na parametrze `ver`, ale jest to bardzo mało prawdopodobne.
Czy to wystarczy, aby moja strona była w 100% bezpieczna?
Absolutnie nie. To tylko jeden z wielu kroków w procesie zabezpieczania strony (tzw. "hardening"). Kluczowe są regularne aktualizacje, stosowanie silnych haseł, ograniczanie prób logowania, posiadanie zapory (firewall) i regularne skanowanie w poszukiwaniu złośliwego oprogramowania.
Po dodaniu kodu wersja nadal jest widoczna. Dlaczego?
Najczęstszą przyczyną jest buforowanie (caching). Wyczyść pamięć podręczną swojej strony (np. wtyczką typu WP Super Cache, W3 Total Cache), pamięć podręczną na poziomie serwera (jeśli jest), a także pamięć podręczną przeglądarki. W ostateczności sprawdź, czy kod nie został nadpisany przez inną wtyczkę lub czy został dodany poprawnie.
