Защита WordPress. Замена версии движка
На фоне подобных вот событий волей неволей задумаешься о вечном защите своего блога. Конечно же, иранским кулхацкерам он и даром не нужен, но все же.
Этим постом я открываю новую рубрику на блоге Вебсовет, посвященную защите движка WordPress.
Америк не пооткрываю. Вся эта инфа уже есть в сети. Но для читателей Вебсовета, уверен, будет удобно и полезно иметь под рукой такую вот рубрику, чтобы можно было легко ее найти и применить на практике кой-какие полезняшки.
Приступим.
Перво-наперво, что приходит на ум, это уже упоминаемая мною в статье о создании шаблона для WordPress правка файла header.php.
По-умолчанию там практически во всех шаблонах прописан код вывода версии используемого движка. Есть мнение, что это лакомая приманка для злодеев, ибо по номеру версии можно подобрать соответствующие отмычки. Многие (и я в том числе) рекомендуют удалить из этого файла строку:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Все это хорошо и замечательно. При просмотре кода самого блога номера версии нет. Но если зайти на страницу авторизации, то версия в коде высвечивается как ни в чем не бывало. И это понятно: правка шаблона не заменяет саму версию движка. Что же делать?
Решение на самом деле весьма простое и изящное. Нужно всего лишь забраться в папку wp-includes и найти там пхп файлик, который как раз и хранит данные о версии ВП. Файл называется version.php. Открываем его в программке PSPad или другой подобной (но только не в Блокноте!) и находим вот такую строчку:
$wp_version = '2.8.4';
Номер, естественно, у каждого свой, 2.8.4 взято лишь для примера. Нужно всего лишь заменить эти три цифры. Лучше писать что-то нейтральное. Например, номера версий, которых не существует в природе: 9.1.1 или 0.0.2 :)
Кроме защиты такой финт также избавит от надоедливой надписи в админке блога «Ваша версия устарела, бла, бла, бла…»