WordPress secara otomatis mengeksekusi fungsi wp_generator() setiap kali hook wp_head() dipanggil. Biasanya hook wp_head() terdapat di file header.php tema yang digunakan, tepatnya pada section <head>. Hasil dari eksekusi fungsi wp_generator() adalah menampilkan versi WordPress yang digunakan. Bisa kita lihat melalui Page Source halaman blog kita via web browser. Contoh tampilannya seperti ini :
Informasi versi WordPress yang digunakan ini bisa dimanfaatkan oleh para hacker untuk menyerang blog kita. Kenapa? karena tiap versi WordPress mempunyai celah keamanan yang berbeda-beda sehingga perlu teknik yang berbeda untuk mengeksploitasinya, informasi ini tentu berguna untuk para hacker karena bisa digunakan sebagai bahan awal untuk menyerang.
Cara Menghilangkan Versi WordPress
1. Cara Pertama
Lokasi fungsi enqueue wp_generator() ini bisa kita lihat pada /wp-includes/default-filters.php tepatnya pada baris 208.
Untuk menonaktifkan fungsi ini caranya dengan mengganti perintah dari yang sebelumnya:
add_action( 'wp_head', 'wp_generator' );
menjadi
remove_action( 'wp_head', 'wp_generator' );
Cara ini sudah pernah saya coba dan berhasil. Tetapi cara ini tentu TIDAK DISARANKAN karena akan selalu beresiko jika kita mengedit core WordPress.
Cara yang yang lebih baik dan lebih aman tetapi mendapatkan hasil yang sama dengan penggunaan cara di atas adalah dengan memasukkan fungsi berikut ke dalam file functions.php tema yang kita gunakan:
remove_action( 'wp_head', 'wp_generator' );
Lebih mudah bukan? :) (kalau tahu lebih mudah, kenapa saya beritahu cara yang sebelumnya ya? :mrgreen:) Silakan coba lihat hasilnya, informasi versi WordPress yang digunakan sudah tidak muncul lagi bukan?
2. Cara Kedua
Oke sekarang kita coba buka Feed blog kita di browser. Contohnya alamat Feed blog saya adalah http://rachmadin.com/feed/. Setelah itu coba lihat Page Source nya. Lho, ternyata masih ada informasi yang menampilkan versi WordPress yang digunakan??? Contohnya tampilannya seperti di bawah ini :
<generator>http://wordpress.org/?v=3.4</generator>
Jadi cara pertama tidak ampuh dong? Berdasarkan pengalaman saya, kekurangan dari penggunaan cara pertama adalah tidak bisa menghilangkan versi WordPress yang tampil pada Feed blog. Bagaimana cara menghilangkannya? Caranya adalah dengan memasukkan fungsi berikut ke dalam file functions.php tema yang kita gunakan:
function remove_version_info() {
return '';
}
add_filter( 'the_generator', 'remove_version_info' );
Oke, coba kita lihat lagi Page Source feed blog kita, voila informasi versi WordPress yang digunakan sudah tidak muncul lagi bukan? :)
Cara Menghilangkan Versi WordPress yang Muncul Pada Enqueue Script
Coba kita buka halaman login blog kita, contohnya http://contoh.com/wp-login.php (kalau halaman loginnya masih di file itu ya) dan lihat Page Source nya. Perhatikan di baris atas ada baris perintah seperti yang terlihat pada gambar di bawah.
Gambar 1. Versi WordPress Pada Script
Di situ terlihat versi WordPress yang digunakan. Lho, padahal sudah menggunakan cara pertama atau yang kedua tadi, tetapi masih bisa terlihat juga ya versi WordPress nya? Bisa terjadi seperti itu karena WordPress menggunakan fungsi wp_enqueue_script(); untuk me-load JavaScript ke halaman situs dan wp_enqueue_style(); untuk me-load file CSS ke halaman situs. Dengan menggunakan fungsi wp_enqueue_script(); dan wp_enqueue_style(); secara otomatis akan menambahkan string versi WordPress yang digunakan pada script yang di-load. Cara menghilangkannya adalah dengan memasukkan fungsi berikut ke dalam file functions.php tema yang kita gunakan:
function remove_script_version( $src ) {
if ( strpos( $src, 'ver=' ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'remove_script_version', 9999 );
add_filter( 'script_loader_src', 'remove_script_version', 9999 );
Sekarang lihat hasilnya, sudah hilang bukan? :)
Gambar 2. Versi WordPress yang Sudah Hilang Pada Script
Tentunya, cara meningkatkan keamanan blog WordPress kita dari serangan hacker tidak hanya sekedar menghilangkan atau menghapus versi WordPress yang muncul pada halaman blog, tapi minimal dengan menerapkan cara di atas akan sedikit menyusahkan para hacker yang ingin mencoba mengeksploitasi blog kita. Semoga bermanfaat.
Sumber :
http://docs.appthemes.com/tutorials/removing-wordpress-version-number/
http://wordpress.org/support/topic/get-rid-of-ver-on-the-end-of-cssjs-files</head>
Blog Yang Menyediakan Berbagai Informasi Tentang IT
© Copyright 2016 Blogz-Udin | Sharing Ilmu Tentang IT. Designed by Bloggertheme9. Powered by Blogger.
Terima Kasih informasi mengenai cara menghilangkan versi wp.
ReplyDeleteInformasi yang sangat bermanfaat :)