隐藏WordPress的版本信息

有些主题会带有显示WordPress的版本信息的代码,有些恶意用户看到你的WordPress版本后,那他对特定版本的漏洞进行攻击就简单多了。那么我们就要去除WordPress的版本信息显示代码,首先,在主题的header.php中查找是否以下类似代码,如果有的话就将它去除,因为这是用来输出版本号的:

1
    <meta name="generator" content="WordPress <?php bloginfo(’version’); ?>" />

接着,主题的wp_head()函数可能还会输出WordPress版本号,为了不让它输出,请在主题目录下的 functions.php 中添加以下代码(没有functions.php就新建一个):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
    // 同时删除head和feed中的WP版本号
    function ludou_remove_wp_version() {
      return '';
    }
    add_filter('the_generator', 'ludou_remove_wp_version');
    // 隐藏js/css附加的WP版本号
    function ludou_remove_wp_version_strings( $src ) {
      global $wp_version;
      parse_str(parse_url($src, PHP_URL_QUERY), $query);
      if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
        // 用WP版本号 + 12.8来替代js/css附加的版本号
        // 既隐藏了WordPress版本号,也不会影响缓存
        // 建议把下面的 12.8 替换成其他数字,以免被别人猜出
        $src = str_replace($wp_version, $wp_version + 12.8, $src);
      }
      return $src;
    }
    add_filter( 'script_loader_src', 'ludou_remove_wp_version_strings' );
    add_filter( 'style_loader_src', 'ludou_remove_wp_version_strings' );

隐藏面板登陆错误信息

另一种保护你的WordPress的主题的方法是隐藏登录错误。这样做的原因是,不管什么时候,你输入正确的用户名,但是输入的是错误的密码,那么系统就会提示:“错误:密码不正确。忘记密码?",这样就是直接暗示恶意用户,这个用户名是正确的,只要不断地尝试其他密码,迟早可以破解处你的登陆密码。 同样,当你输入一个不存在的用户名是,会出现提示"错误:不可用的用户名”,同样也可以暗示这个用户名是不可用,再换其他用户名,这样又减少了一种可能。 为了不让这样的问题发生,你需要在 functions.php 文件中添加:

1
add_filter('login_errors', create_function('$a', "return null;"));

这段代码可以去除登陆错误时出现标准错误信息。 经过这些修改相信你的WordPress将更加安全了!