Salve a tutti ragazzi! Continua il mio lungo viaggio verso gli accorgimenti di security per quanto riguarda Wordpress. Una delle cose più importanti che non dobbiamo dimenticare quando cerchiamo di mettere in sicurezza un blog realizzato con wordpress (ma questo vale anche per qualsiasi altro sito/applicazione web) e che la sicurezza stessa viaggia di pari passo con l’oscuramento di informazioni. Sappiamo tutti benissimo che se un attaccante vuole “bucare” il nostro sito è solo questione di tempo perché prima o poi ci riuscirà e tale lasso di tempo dipende principalmente da due variabili:
- L’abilità dell’attaccante
- La quantità di informazioni sensibili che lasciamo incustodite

Credo che il primo punto si spieghi da solo. Voglio invece soffermarmi sul secondo: in molti penseranno che le informazioni sensibili per quanto riguarda wordpress siano semplicemente l’user e la pass degli utenti con privilegi amministrativi. Be non potrebbe essere più sbagliato! Un’altra informazione molto importante che è di solito una delle prima che si cerca di acquisire è la versione della vostra piattaforma wordpress!
Infatti wordpress di default mostra la sua versione al resto del mondo e tutto ciò può essere usato contro di voi poiché i vari bug sfruttabili tramite i più disparati exploit facilmente reperibili nella rete sono intrinsechi in ogni specifica versione di wordpress.
Cosa bisogna fare allora? Ma naturalmente oscurare la versione del nostro caro wordpress! Potrebbe sembrarvi un’impresa ardua invece non esiste nulla di più facile ci basta infatti disabilitare il meta tag “generator” il quale porta come valore la versione di wordpress che stiamo utilizzando. Per fare questo basta aprire il file “functions.php” contenuto nella directory principale del tema che stiamo utilizzando (se non è presente creiamolo noi e naturalmente se utilizziamo più temi tale procedura va effettuata per tutti i temi) è inserire questa funzione php:

function hide_wp_vers()
{
return '';
}
add_filter('the_generator','hide_wp_vers');

Tuttavia c’è anche un altro posto tramite il quale un attaccante può ottenere questa informazione e indovinate qual’è? Il banale readme che è presente in tutte le root directory dell’installazione della vostra piattaforma wordpress e che in molti dimenticano li. Semplicemente accedete via ftp e cancellate il file.