Meta-Tag mit WordPress-Versionsnummer

Im WordPress-Quelltext wird normalerweise innerhalb der Meta-Tags die Versionsnummer angegeben. An sich ist das kein Problem und dient wohl vor allem den Entwicklern von WordPress dazu, zu wissen, welche Version der Software weltweit im Einsatz ist.

Allerdings ist dieser Eintrag auch ein gefundenes Fressen für Hacker-Angriffe. Es gibt ja viele Seiten, die sich mit Sicherheitslücken in verschiedenen Applikationen beschäftigen. So findet man auf diesen Seiten auch den Exploit, also die Beschreibung der Sicherheitslücke und Versionen der Software, innerhalb der die Lücken angewendet werden können. Jemand, der sich solche Lücken zu Nutze machen will, muss also lediglich nach der Versionsnummer im Quelltext suchen und kann so sehr schnell entscheiden, ob sich ein Angriff lohnt oder nicht.

Was kann man dagegen tun? Im Grunde ist es ganz einfach: Selbstverständlich sollte man WordPress immer aktuell halten. Das heisst, sobald ein Update verfügbar ist, sollte man es schnellstmöglich auch einspielen. Anleitungen dazu finden sich natürlich auch hier unter “Upgrade“.

Um zumindest die Möglichkeit zu unterbinden, im Quelltext nach der Versionsnummer zu suchen, kann man ein Plugin verwenden, welches dafür sorgt, dass der Eintrag

<meta name="generator" content="Wordpress 2.x">

nicht mehr ausgegeben wird. Dazu erstellt man sich einfach ein kleines Plugin:

<?php
/*
Plugin Name: No more generator meta-Tag
Plugin URI: http://blog.ftwr.co.uk/archives/2007/10/06/improving-
the-wordpress-generator/
Description: Hides the meta-Tag generator in all templates for
security reasons Version: 1.0
Author: Peter Westwood
Author URI: http://blog.ftwr.co.uk/archives/2007/10/06/improving-
the-wordpress-generator/

$Revision$
*/

function i_want_no_generators() 
{ 
    return ''; 
} 
add_filter('the_generator','i_want_no_generators'); 
?>

Ich habe das Plugin bzw. den Quelltext von Peter Westwood kopiert. Der obige Text muss einfach in eine Text-Datei gespeichert werden. Der Name der Datei spielt keine Rolle, sinnvoll wäre aber so etwas wie “no-meta-generator-tag.php”. Wichtig ist die Endung .php dabei. Diese Datei dann einfach in den Ordner /wp-content/plugins laden und unter dem Reiter “Plugins” aktivieren. Ab sofort wird dann die Versionsnummer bzw. der meta-Eintrag nicht mehr im Quelltext ausgegeben. Dies gilt übrigens auch für alle bereits geschrieben Beiträge und Seiten, sofern sie beim Besuch der Seite dynamisch aus der Datenbank geladen werden und nicht durch ein Plugin statisch geschriebene HTML-Dateien sind.

In der aktuellen WordPress Version 2.6 funktioniert dieses Skript übrigens immer noch.

14 Antworten auf „Meta-Tag mit WordPress-Versionsnummer“

  1. Die Lösung über ein Plugin finde ich etwas eleganter, weil man das leichter verwalten kann, wenn man ein WordPress-Update macht. Falls die Funktion Probleme bereiten sollte, kann man durch einfach de-/aktivieren des Plugins herausfinden, ob es vielleicht daran liegt.

  2. Bei mir funktionierts leider nicht. Hab das Plugin hochgeladen und aktiviert, aber die Versionsnummer wird immer noch angezeigt. Jemand ne Ahnung, woran das liegen könnte? Verwende WP 2.6.2 auf meinen Blogs.

  3. Das einfachste ist meiner Meinung nach in der Datei header.php die Generator-Zeile einfach zu löschen oder so zu modifizieren:
    (meta name=”generator” content=”WordPress” /)

  4. Hi Chucky,

    ganz so einfach ist es nicht – das siehst du am Besten an deiner eigenen Seite (junglas.com) im Quelltext. Die Zeile “meta generator” wird über die Funktion von WordPress erzeugt und ist nicht über die Themes anpassbar. Hinter der Zeile steht auch ein Kommentar von WordPress, dass man diese Zeile zu Statistikzwecken nicht entfernen sollte… an dieser Stelle sei dir auch ein <a href=”http://www.wp-magazin.info/installation-von-wordpress/” Upgrade auf die aktuelle Version von WordPress empfohlen, um Sicherheitslücken zu schliessen. 😉

  5. Es Reicht auch den Metatag zu ändern und nicht direkt zu löschen.

    Tatsache ist, dass die Hacker erstmal nach der Systemen suchen und wenn es z.B. so geschrieben wird:
    content=”BlogCMS WP 286″
    Wird es auch von Hacker nicht gefunden.

  6. Wenn du noch nicht weißt, wo der Code ist, kannst du bspw. ein Exploit-Scanner Plugin nutzen, um den entsprechenden Artikel oder Kommentar zu entdecken:
    http://wordpress.org/extend/plugins/exploit-scanner/

    Dann solltest du in der HTML-Ansicht des Artikels oder der Kommentare nach dem Schadcode schauen – der müsste dir optisch auffallen (kein HTML-Code zur Formatierung oder ähnliches, sondern eher ein javascript-Code). Den entsprechenden Code dann aus dem Beitrag oder Kommentar löschen, fertig. 🙂

Schreibe einen Kommentar zu Thomas Langel Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert