Sécuriser Wordpress en masquant les différents numéros de versions dans le code source

Publié le 6 mars 2017 Par WOoOinux

Par défaut, Wordpress affiche fièrement son numéro de version dans son code source.

Version de Wordpress

Ceci est, à mon sens, un défaut de sécurité car un pirate pourrait se baser sur la version affichée pour savoir s’il peut exploiter une faille connue à cette même version.
C’est donc un indice précieux que nous allons tout de suite masquer.

Pour ce faire, il suffit d’éditer le fichier « functions.php » de votre thème et y ajouter le code suivant :

// On masque la version de Wordpress
remove_action("wp_head", "wp_generator");

Mais le problème ne s’arrête pas là puisque la fonction «wp_enqueue_script » (fonction servant à inclure des scripts Javascript ou CSS) inclue également le numéro de version de chaque script (et donc de l’extension qui peut aller avec…) qui peut, parfois, être le même numéro de version que celui de Wordpress.

Version des fichiers JS

Nous allons également remédier à cette faille en éditant encore une fois le fichier « functions.php » du thème actif et en y ajoutant le code suivant :

// On masque tous les numéros de version des fichiers JS et CSS
function vc_remove_wp_ver_css_js( $src ) {
    if ( strpos( $src, 'ver=' ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'vc_remove_wp_ver_css_js', 9999 );
add_filter( 'script_loader_src', 'vc_remove_wp_ver_css_js', 9999 );

Et voilà ! Le code source de Wordpress ne divulgue plus d’indices sur les versions du Core et des scripts Javascript.

Source : https://www.virendrachandak.com/techtalk/how-to-remove-wordpress-version-parameter-from-js-and-css-files/