ein Blog übers Web, IT, Linux, Techiekram...

...wieder mal Sicherheit ::: WordPress und Plugins ohne Versionsnummern

Im Artikel über das Entfernen des Benutzers "admin" in WordPress erwähnte ich ja schon, dass es dabei um Sicherheit geht. Es gibt einen unterschiedlichen Anspruch an Sicherheit, manche sehen das nicht so eng, und sagen sich: "die Sicherungskopie ist ja schnell wieder installiert, falls man gehackt wurde", andere nehmen Sicherheit sehr ernst. Das neue Wordpress Magazin hat eine eigene Kategorie zum Thema Sicherheit für alle die sich da intensiver damit befassen wollen. Überflüssiges Risiko ist es, die Version der Software mit im Quelltext oder gar in der Fußzeile auszugeben. Insbesondere, wenn man nicht jede Aktualisierung sofort durchführt, erleichtert diese Angabe es etwaigen Angreifern das Blog zu finden.

WordPress Versionsnummer entfernen

Bislang ließ sich das im Template anpassen, in der header.php, bzw. footer.php (/blogverzeichnis/wp-content/theme/name_des_themes/header.php) konnte einfach die Nummer gelöscht werden. Gerade durch einen Beitrag des expertinnen-web wurde ich drauf aufmerksam, dass das in den aktuellen Versionen ab WordPress 2.6  nicht mehr klappt. Inzwischen muss es hier geändert werden:
  •  /blogverzeichnis/wp-includes/general-template.php
  • am Ende der Datei findet sich function get_the_generator ( $type ) {
  • ändert man an allen Stellen, an denen 'version' steht in '00' dann erscheint keine Versionsnummer mehr
Ich finde diese Änderung ärgerlich, auch wenn ich vermuten kann, woran es liegt. Für mich ist es klar, dass Blogs mit Open-Source-Software auch einen Link zur Software bekommen sollen. Ich lasse den daher auch das Meta-Tag "generator" drin.  Allerdings machen das wahrscheinlich nicht alle. Wird der Hinweis jetzt an versteckterer Stelle eingebunden, bleibt er häufiger erhalten. So weit, so gut, meinetwegen. Aber, dass die Version da mit enthalten ist, ist schon ärgerlich.

Nummer der Version bei Plugins entfernen

Übrigens, wer es bei Plugins ebenfalls nicht möchte, dass die Version erscheint, der/die sollte einen Blick in den Code werfen, dort ist meist eine Variable mit der Versionsnummer vorbelegt, z.B:
  • $version = '2.19.8';
  • ändert man den Inhalt wie folgt:
  • $version = '0.0.0';
erscheint anschließend schlicht 0.0.0. Ich ersetze meist einfach, das was da steht, durch eine "0", dann muss ich mir keine Sorgen machen, dass etwas nicht mehr klappt,  falls ein Plugin irgendwo die Versionsnummer in genau dieser Form abfragt.

Hinweis

Ich teste alles, was ich an der Online-Version ändere und ich achte immer auf ausreichende Sicherungsdateien vorab. Wie ich genau vorgehe, z.B. bei Updates beschreibt der Artikel Ablauf der Aktualisierung, der Artikel ist zwar für eine ältere Version, der Ablauf als solcher gilt jedoch auch für aktuelle Versionen. Meines Erachtens sind Sicherungskopien das A und O jeder Änderung oder Aktualisierung, denn es kann immer irgendetwas schief gehen. Insbesondere bei Blogs, die häufig mit den verschiedensten zusätzlichen Plugins laufen, gibt es nie eine Garantie, dass das was beim einen Blog prima klappt auch beim nächsten Blog problemlos funktioniert.

Noch keine Kommentare

Kommentar schreiben

Gravatar, Twitter, Favatar Autoren-Bilder werden unterstützt.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Um einen Kommentar hinterlassen zu können, erhalten Sie nach dem Kommentieren eine E-Mail mit Aktivierungslink an ihre angegebene Adresse.
BBCode-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.