Cacher la version de WordPress ? Inutile ! : Je vous le prouve !

Cacher la version de WordPress ? Inutile ! : Je vous le prouve !

Quoi ? Serais-je en train de recommander de NE PAS cacher votre version de WordPress !? Oui. Je suis conscient que cet article peut devenir un troll, mais ce ne serait pas méchant ;)

Intro

Beaucoup, même énormément de sites relaient des tips et tutoriels qui consistent à cacher votre version de WordPress, chacun y va de son commentaire pour donner une raison de cacher cette information. Tous n’ont pas faux, mais rien n’est réellement efficace, ni utile, ni nécessaire. Cherchez « hide wordpress version » ou « cacher version wordpress » ou encore « masquer version wordpress » sur votre moteur de recherche favori (google est le meilleur #cacestunvraitroll).

De plus, si vous ajoutez des fonctions sur des hooks WordPress et qu’au final je vous dit « ça sert à rien », vous aurez surchargé WordPress pour rien (c’est surement infime mais certaines personnes détestent le « gaspillage de la miette »).

Alors pourquoi ?

A mon tour de donner mon avis sur le pourquoi cacher sa version. Il est vrai que laisser sa version facilement lisible est une information précieuse pour un hacker qui souhaite cibler des versions vulnérables. Il est donc souvent recommandé de cacher ce numéro pour faire perdre du temps au hacker, oui faire perdre du temps simplement car si ce hacker est capable de pirater votre site, il y a de fortes chances qu’il sache trouver un simple numéro de version …

Mise en condition

Vous avez vous aussi caché votre version de WordPress ? Je vous invite alors à vérifier ceci :

1) Le tag html « meta generator » qui est lisible dans le code source de toutes les pages générées. La plupart du temps les tutoriels suppriment ce tag.
Exemple : <meta name= »generator » content= »WordPress 3.3.2″ />
L’avez vous ?

2) L’info dans les Flux RSS qui est lisible dans le code source des page RSS (ajoutez /rss/ à votre adresse)
Exemple : <generator>http://wordpress.org/?v=3.3.2</generator>
L’avez vous ?

3) Sur certaines pages sont liés des fichiers CSS avec un paramètre « ver » suivi d’une date, cette date est la date de la dernière version majeure (x.x et non x.x.x)
Exemple sur /wp-admin/upgrade.php : …install.css?ver=20111117
On peut lire 20111117 qui correspond à la 3.3(.0).

L’avez vous ?

4) Le fichier « readme.html » à la racine de votre site, qui, même si vous le supprimez, reviendra lors de la prochaine mise à jour automatique. Ce fichier contient la version en gros plan, toute belle avec du CSS …

L’avez vous ?

5) Pour moi, l’ultime et imparable technique: L’ajout de fichier dans le core permet aussi de deviner des versions.

Exemple le fichier « /wp-admin/images/media-button.png » a été ajouté dans la version 3.3.

L’avez vous ? Ho pardon comment ne pas l’avoir … comment le cacher : impossible.

Conclusion

En cachant votre numéro de version, vous avez perdu votre temps, votre énergie car au final, il est toujours possible de trouver ce numéro de version.

BONUX

Et en bonux, voici un site qui permet de connaitre le numéro d’une version de WordPress :

http://www.whatismywordpressversion.com/

Lire la suite

Vous aimez ? Partagez !

Abonnement gratuit à 0€


16 thoughts on “Cacher la version de WordPress ? Inutile ! : Je vous le prouve !”

  • 1
    Screenfeed on 25 mai 2012 Répondre
    Le seul gain qu’on pourrait avoir à cacher la version de WP c’est au niveau des fichiers css/js, et n’a pas attrait à la sécurité mais aux performances navigateur. M’aurait-on dit que certains navigateurs auraient du mal à mettre en cache les fichiers dont l’url contient justement un ?ver=xxx. Chose que je ne me suis jamais amusé à vérifier bien sûr ;) (donc il vaudrait mieux mettre la version du fichier directement dans l’url ou le nom de fichier, mais pas en paramètre)
    • 2
      Julio Potier on 26 mai 2012
      J’aimerai bien effectivement que quelqueun sache tester ça. Et quels sont les navigateurs qui posent problème ?
      Si vous souhaitez garder le système de cache avec un ?ver=xxx mais sans la montrer, voici le bout de code à insérer dans functions.php

      function delete_script_version( $src ){
      	$parts = explode( '?', $src );
      	$ver = '?ver=' . md5( wp_salt( 'nonce' ) . $parts[1] );
      	return $parts[0] . $ver;
      }
      add_filter( 'script_loader_src', 'delete_script_version', 15, 1 );
      add_filter( 'style_loader_src', 'delete_script_version', 15, 1 );
      

      (source : http://www.geekpress.fr/wordpress/astuce/supprimer-variable-ver-fichiers-javascript-css-wordpress-173/ (voir mon commentaire))

  • 3
    Olivier@infographiste 3d on 25 mai 2012 Répondre
    Ce qui peut me faire rire c’est cette paranoïa qui règne sur le web avec on va venir me craquer mon site, pour me voler des informations super PAS confidentielles…
    Je pense qu’il faut arrêter avec ça, effectivement il y a toujours un risque de ce faire planter son site. Mais ça ne touche que un pourcentage infime des sites existant, ensuite faites des sauvegardes régulières, et durcissez vos mots de passe.
    Sinon le meilleur moyen de ne pas ce faire craquer son site c’est de ne pas avoir de site.
    • 4
      Julio Potier on 25 mai 2012
      Bonjour,
      En même temps, tu n’es pas sous WordPress mais le sujet reste le même, tu utilises aussi un CMS (PluXML), tu n’as pas peur d’être une cible, tant mieux pour toi.
      Personnellement je peux te dire que n’importe quel site peut devenir la cible de hackers, qu’il soit connu ou pas, du moment qu’il est trouvable par google …
      Tu veux tester ? Crée toi un wordpress bidon en version 3.0 (non a jour bien sur) avec un timthumb 1.15 (non a jour bien sur) et laisse le sur google quelques temps. Tu découvriras vite ce qu’il va lui arriver.
      Toute faille est exploitée, tout site non à jour sera exploité de cette faille.
      Maintenant, cacher la version ou pas ne change rien au problème.
      Sinon, tu as des sources de ce pourcentage infime ou c’est juste un avis ?
      C’est ton métier qui te laisse penser que la sécurité des sites n’est pas un sujet sensible ?
      Penses-tu qu’un blog « Le Poney Club de Moncuq » ne puisse pas être la cible d’un hack ?
      A bientot
    • 5
      Julio Potier on 25 mai 2012
      Ho et le plus important comme je dis est de se tenir à jour. N’est-ce pas Olivier ? ;)
  • 6
    Jerome on 3 juin 2012 Répondre
    Merci pour votre article qui indique les modifications à faire pour ne pas afficher la version de WordPress tout en évitant de surcharger son blog avec des plugins.
    • 7
      Julio Potier on 4 octobre 2012
      Ha oui c’est sûr tu as tout compris toi.
  • 8
    Marco on 5 juin 2012 Répondre
    C’est vrai qu’en travaillant dans le monde de l’internet et du référencement, c’est relativement facile de trouver 100 bonnes raisons de hacker un site indexé par Google. Et puis, vu le résultat sans appel de l’analyse, la vrai solution est de tenir un maximum à jour ses blogs ! Merci pour le gain de temps ;)
  • 9
    Lolokai on 23 juillet 2012 Répondre
    J’en apprends pas mal grâce à ce billet, cependant ces méthodes ont pour la plupart l’avantage de se « protéger » ou en tous les cas de durcir la tâche aux scripts kiddies qui la plupart du temps vont uniquement aller regarder le code source de la page c’est à dire pas plus loin que le bout de leur nez :).
    • 10
      Saugrin Sonia on 4 octobre 2012
      Ils sont cons ces scripts :) lol

      Pour ma part je viens de faire la découverte mais totalement par hasard en regardant l’un de mes feeds et la je me suis dit mais WTF ?

      WordPress est un CMS qui laisse beaucoup d’empreinte, je pense que c’est fait exprès.

      Il y avait un site mais je ne connais plus l’url qui affichait tous les plugins installés sur ton wordpress. Et la c’est la fête en sachant le nombre de faille qu’il y à dans les plugins.

  • 11
    Vivien Vidal on 24 octobre 2012 Répondre
    Ca c’est vrai bon à savoir pour tous les webmasters de sites WordPress pour éviter de perdre son temps, merci pour l’info ;)
  • 12
    Tu veux tester ? Crée toi un wordpress bidon en version 3.0 (non a jour bien sur) avec un timthumb 1.15 (non a jour bien sur) et laisse le sur google quelques temps. Tu découvriras vite ce qu’il va lui arriver.
    Toute faille est exploitée, tout site non à jour sera exploité de cette faille.
    Maintenant, cacher la version ou pas ne change rien au problème.
    Sinon, tu as des sources de ce pourcentage infime ou c’est juste un avis ?
    C’est ton métier qui te laisse penser que la sécurité des sites n’est pas un sujet sensible ?
  • 13
    madvic on 15 novembre 2013 Répondre
    Et mettre un faux numéro de version ? Que se passe t-il ? ca déroute ?
    • 14
      Julio Potier on 15 novembre 2013
      Ca déroute les scripts qui se basent sur un numéro de version, mais j’ai envie de dire que ce ne sont pas les meilleurs scripts. Personnellement, si je devais hacker un site WordPress, au hasard, je tombe sur un site en « 3.0 », ok il y a des failles, je tombe sur un site avec version cachée, je test toutes les failles connues depuis la 3.0 par exemple, si rien ne fonctionne, il est peut-être à jour …
  • 15
    Cdrice on 12 mai 2014 Répondre
    Intéressant cet article, mais en faisant des recherche sur « sécurité, wordpress, cacher version » je suis également tombé sur ce plugin: « Hide my wordpress » ( plugin chez codecanyon=23$).
    Avez vous testez toutes ces manips pour retrouver la version avec ce plugin d’activé pour voir son efficacité ?

Laisser un commentaire

Avant de parler, merci de lire la charte des commentaires.

Utiliser le tag [php][/php] pour ajouter du code ou utilisez un service comme pastebin.com.
Cibler un commentateur avec un "@", merci à Mention Comments Authors !