Wie man die Versionsnummer von WordPress richtig entfernt

WordPress gibt standardmäßig eine Versionsnummer im Quellcode der Website aus. Das dient statistischen Zwecken. So wissen wir beispielsweise, dass WordPress die weltweit größte Bloggin-Plattform (oder doch eher CMS?) ist. Allerdings kann diese Funktion auch ein Sicherheitsrisiko darstellen, weshalb man die Versionsnumer eigentlich besser deaktivieren sollte. Wie immer gibt es mehrere Möglichkeiten, die mehr oder weniger vollständig sind. Dieses Tutorial zeigt, wie man es richtig macht.

Die traditionelle Methode

Häufig wird empfohlen, eine Codezeile aus der header.php zu löschen, um die Versionsnumer zu entfernen. Dabei wird der Meta-Tag, der diese Information enthält einfach gelöscht.

    

Die fortgeschrittene Methode

Bei dieser Methode wird eine Codezeile in die functions.php geschrieben und die Funktion zur Anzeige der Versionsnummer einfach deaktiviert.

    remove_action('wp_head', 'wp_generator');

Beide Lösungen führen zum Ziel. Die Versionsnummer wird aus dem Quellcode der Site entfernt. Sind wir jetzt sicher? Leider nein! Wenn sich ein böser Hacker mit WordPress auskennt (und davon ist auszugehen) wird er auch weiterhin in der Lage sein, die Versionsnummer zu lesen. Nämlich aus dem RSS Feed.

Die professionelle Methode

Wir müssen also nicht nur die Anzeige der Nummer im Quellcode der Seiten vermeiden, sondern die Ausgabe der Versionsnummer vollständig abschalten.

Dazu schreiben wir folgende Funktion in die functions.php des aktivierten WordPress Themes:

 function my_remove_version() {
    return '';
    }
    add_filter('the_generator', 'my_remove_version');

Damit wird die Versionsnummer vollständig und überall (also auch aus dem Feed) entfernt und zumindest diese potentielle Lücke geschlossen. Man sollte trotzdem immer die aktuelle Version von WordPress nutzen, da diese in der Regel die meiste Sicherheit bietet.