隐藏WordPress的版本信息
有些主题会带有显示WordPress的版本信息的代码,有些恶意用户看到你的WordPress版本后,那他对特定版本的漏洞进行攻击就简单多了。那么我们就要去除WordPress的版本信息显示代码,首先,在主题的header.php中查找是否以下类似代码,如果有的话就将它去除,因为这是用来输出版本号的:

<meta name="generator" content="WordPress <?php bloginfo(’version’); ?>" />

接着,主题的wp_head()函数可能还会输出WordPress版本号,为了不让它输出,请在主题目录下的 functions.php 中添加以下代码(没有functions.php就新建一个):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

    // 同时删除head和feed中的WP版本号
    function ludou_remove_wp_version() {
      return '';
    }
    add_filter('the_generator', 'ludou_remove_wp_version');
    // 隐藏js/css附加的WP版本号
    function ludou_remove_wp_version_strings( $src ) {
      global $wp_version;
      parse_str(parse_url($src, PHP_URL_QUERY), $query);
      if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
        // 用WP版本号 + 12.8来替代js/css附加的版本号
        // 既隐藏了WordPress版本号,也不会影响缓存
        // 建议把下面的 12.8 替换成其他数字,以免被别人猜出
        $src = str_replace($wp_version, $wp_version + 12.8, $src);
      }
      return $src;
    }
    add_filter( 'script_loader_src', 'ludou_remove_wp_version_strings' );
    add_filter( 'style_loader_src', 'ludou_remove_wp_version_strings' );

隐藏面板登陆错误信息
另一种保护你的WordPress的主题的方法是隐藏登录错误。这样做的原因是,不管什么时候,你输入正确的用户名,但是输入的是错误的密码,那么系统就会提示:"错误:密码不正确。忘记密码?",这样就是直接暗示恶意用户,这个用户名是正确的,只要不断地尝试其他密码,迟早可以破解处你的登陆密码。
同样,当你输入一个不存在的用户名是,会出现提示"错误:不可用的用户名",同样也可以暗示这个用户名是不可用,再换其他用户名,这样又减少了一种可能。
为了不让这样的问题发生,你需要在 functions.php 文件中添加:

add_filter('login_errors', create_function('$a', "return null;"));

这段代码可以去除登陆错误时出现标准错误信息。
经过这些修改相信你的WordPress将更加安全了!

您可以用支付宝/微信/QQ扫描二维码为作者打赏
网站维护离不开您的支持
支付宝支付 微信支付 QQ支付
如果本文对您有帮助,请不要吝啬您的打赏!~

声明:除非注明!方阁志文章均为原创,转载请以链接形式标明本文地址!

文章标题:保护WordPress安全--主题的安全性修改

原文链接: http://imfang.net/wordpress/16.html