Blog

Meta-Tag mit WordPress-Versionsnummer

11. August 2008 von Thomas Langel

Im WordPress-Quelltext wird normalerweise innerhalb der Meta-Tags die Versionsnummer angegeben. An sich ist das kein Problem und dient wohl vor allem den Entwicklern von WordPress dazu, zu wissen, welche Version der Software weltweit im Einsatz ist.

Allerdings ist dieser Eintrag auch ein gefundenes Fressen für Hacker-Angriffe. Es gibt ja viele Seiten, die sich mit Sicherheitslücken in verschiedenen Applikationen beschäftigen. So findet man auf diesen Seiten auch den Exploit, also die Beschreibung der Sicherheitslücke und Versionen der Software, innerhalb der die Lücken angewendet werden können. Jemand, der sich solche Lücken zu Nutze machen will, muss also lediglich nach der Versionsnummer im Quelltext suchen und kann so sehr schnell entscheiden, ob sich ein Angriff lohnt oder nicht.

Was kann man dagegen tun? Im Grunde ist es ganz einfach: Selbstverständlich sollte man WordPress immer aktuell halten. Das heisst, sobald ein Update verfügbar ist, sollte man es schnellstmöglich auch einspielen. Anleitungen dazu finden sich natürlich auch hier unter “Upgrade“.

Um zumindest die Möglichkeit zu unterbinden, im Quelltext nach der Versionsnummer zu suchen, kann man ein Plugin verwenden, welches dafür sorgt, dass der Eintrag

<meta name="generator" content="Wordpress 2.x">

nicht mehr ausgegeben wird. Dazu erstellt man sich einfach ein kleines Plugin:

<?php
/*
Plugin Name: No more generator meta-Tag
Plugin URI: http://blog.ftwr.co.uk/archives/2007/10/06/improving-
the-wordpress-generator/
Description: Hides the meta-Tag generator in all templates for
security reasons Version: 1.0
Author: Peter Westwood
Author URI: http://blog.ftwr.co.uk/archives/2007/10/06/improving-
the-wordpress-generator/

$Revision$
*/

function i_want_no_generators() 
{ 
    return ''; 
} 
add_filter('the_generator','i_want_no_generators'); 
?>

Ich habe das Plugin bzw. den Quelltext von Peter Westwood kopiert. Der obige Text muss einfach in eine Text-Datei gespeichert werden. Der Name der Datei spielt keine Rolle, sinnvoll wäre aber so etwas wie “no-meta-generator-tag.php”. Wichtig ist die Endung .php dabei. Diese Datei dann einfach in den Ordner /wp-content/plugins laden und unter dem Reiter “Plugins” aktivieren. Ab sofort wird dann die Versionsnummer bzw. der meta-Eintrag nicht mehr im Quelltext ausgegeben. Dies gilt übrigens auch für alle bereits geschrieben Beiträge und Seiten, sofern sie beim Besuch der Seite dynamisch aus der Datenbank geladen werden und nicht durch ein Plugin statisch geschriebene HTML-Dateien sind.

In der aktuellen WordPress Version 2.6 funktioniert dieses Skript übrigens immer noch.

Gravtar von Thomas LangelThomas Langel
... war mit 11 Jahren stolzer Besitzer seines ersten Personal Computers und mit nun über 30 Jahren ist er immer noch von diesem Virus befallen. Das anfängliche Hobby hat er mittlerweile zu seinem Beruf gemacht. Er arbeitet in einem Dienstleistungsunternehmen, das sich auf die Erstellung und Vermarktung von Online-Shops spezialisiert hat als Online Marketing Manager.

Stichworte: ,
Veröffentlicht in Sicherheit

12 Kommentare

  1. Marcus am 11. August 2008 um 11:33

    Es würde auch reichen, die folgende Zeile in die functions.php des Themes zu schreiben:

  2. Marcus am 11. August 2008 um 11:34

    Ok, wurde natürlich heraus gefiltert ;)

  3. Thomas Langel am 11. August 2008 um 11:44

    Die Lösung über ein Plugin finde ich etwas eleganter, weil man das leichter verwalten kann, wenn man ein WordPress-Update macht. Falls die Funktion Probleme bereiten sollte, kann man durch einfach de-/aktivieren des Plugins herausfinden, ob es vielleicht daran liegt.

  4. Tom am 11. August 2008 um 16:07

    tolle Lösungen! Muss man einfach ausprobieren. Danke, link wird geschaltet.

  5. Paul am 11. August 2008 um 18:03

    Funktioniert perfekt. Danke! :)

  6. Meine aktuellen Plugins am 22. August 2008 um 13:55

    [...] nicht jeder wissen, welche Version man momentan verwendet. Weiteres dazu kann man auch im WordPress Magazin [...]

  7. Felix am 25. September 2008 um 11:16

    Bei mir funktionierts leider nicht. Hab das Plugin hochgeladen und aktiviert, aber die Versionsnummer wird immer noch angezeigt. Jemand ne Ahnung, woran das liegen könnte? Verwende WP 2.6.2 auf meinen Blogs.

  8. Felix am 25. September 2008 um 11:26

    Ok, es liegt an der Version. Hab hier gefunden, wies bei Version 2.6.x funktioniert: http://www.miradlo.net/bloggt/wordpress/wieder-mal-sicherheit-wordpress-und-plugins-ohne-versionsnummern

  9. Cucky am 18. November 2008 um 19:49

    Das einfachste ist meiner Meinung nach in der Datei header.php die Generator-Zeile einfach zu löschen oder so zu modifizieren:
    (meta name=”generator” content=”WordPress” /)

  10. Thomas Langel am 18. November 2008 um 19:55

    Hi Chucky,

    ganz so einfach ist es nicht – das siehst du am Besten an deiner eigenen Seite (junglas.com) im Quelltext. Die Zeile “meta generator” wird über die Funktion von WordPress erzeugt und ist nicht über die Themes anpassbar. Hinter der Zeile steht auch ein Kommentar von WordPress, dass man diese Zeile zu Statistikzwecken nicht entfernen sollte… an dieser Stelle sei dir auch ein <a href=”http://www.wordpress-magazin.de/installation-von-wordpress/” Upgrade auf die aktuelle Version von WordPress empfohlen, um Sicherheitslücken zu schliessen. ;-)

  11. Markus am 17. Mai 2009 um 16:44

    hab dies einfach in die functions.php meines themes in wordpress 2.7.1 eingebauet. wie ich das seh geht das auch?!

  12. Panthera-IT am 3. Januar 2010 um 17:27

    Es Reicht auch den Metatag zu ändern und nicht direkt zu löschen.

    Tatsache ist, dass die Hacker erstmal nach der Systemen suchen und wenn es z.B. so geschrieben wird:
    content=”BlogCMS WP 286″
    Wird es auch von Hacker nicht gefunden.

Kommentar schreiben




Newsletter & Updates

Trag' Dich ein, um die neuesten Artikel per E-Mail zu erhalten!

Stichwörter

2.6.1 2.7 2009 Admin Artikel BackUp Bilder Bloggen Brian Gardner BuddyPress CMS Content Datenbank Design Diskussion Domain Facebook Feedback Funktionen Google Hinweis Jena Joomla Kalender Kommentare Microblogging Navigation Permalinks Plugin Plugins Revolution RSS Security SEO Sicherheit Themes Tutorial Twitter Umfrage Upgrade Version WordCamp WordPress WordPress MU wpSEO

Ähnliche Artikel

Aktuelle Artikel

Die letzten Kommentare

  • dirk: Das ganze ist extremst praktisch muss ich sagen! Die Seiten die man damit aufbaut sind besser geordnet und es...
  • Chris: Hmmm… also ich hatte bisher immer den entgegengesetzten Effekt. Immer wenn ich Themes gesucht habe, fand...
  • Obertauern: Vielen Dank für diesen wirklich hilfreichen Artikel, ich habe schon oft versucht xammp zu installieren,...
  • Rhein Neckar Kreis: Ich sage mal Danke an die Wordprss Macher, je mehr “kleine” es nutzen und die Plugins...
  • Marcel: Es gibt dafür ein Plugin, nennt sich Page Link Manager. Einfacher gehts nun wirklich nicht mehr.

    Feedleser

    • Gesamt: 1150 (Letzten 31 Tage)
    • Maximum: 342 (6. March 2010)
    • Durchschnitt: 37