WordPressのバージョン情報を非表示にする方法

WordPress

少し前のブログで「Web担当者におすすめ！Google拡張機能9選！」で紹介したWappalyzerですが、このプラグインを使うと、今見ているサイトがどんなCMS、プログラミング言語、フレームワーク、データベースなど、どのような構成になっているのか簡単に調べることができます。

また使っているCMSのバージョンもわかるため、仮に古いバージョンのCMSを使っている場合、悪意のあるユーザーがWappalyzerでバージョンを確認し攻撃する可能性もゼロではありません。

そのリスクを減らすためWordPressのバージョン情報は非表示しておくことがベストです。

WordPressのバージョンを非表示にする方法

以下のコードをfunctions.phpに記述することでWordPressのバージョンを表示にすることができます。

// ヘッダー部分からWordPressのバージョン情報を削除
remove_action('wp_head', 'wp_generator');

// RSSフィードからWordPressのバージョン情報を削除
add_filter('the_generator', '__return_empty_string');

// スクリプトとスタイルシートのURLからバージョンパラメータを削除
function remove_version_scripts_styles($src) {
    if (strpos($src, 'ver=')) {
        $src = remove_query_arg('ver', $src);
    }
    return $src;
}
add_filter('style_loader_src', 'remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'remove_version_scripts_styles', 9999);

WordPressではヘッダーやRSSフィード、script、スタイルシートにバージョン情報が記載されているのでその部分をfunctions.phpを使って非表示することができます。

上記の画像のようにコードを適応していない場合はWordPressの右にバージョンが表示されています。コード追加後は下の画像です。WordPressの右に書かれていたバージョンが消えてますね。

funciotns.phpにコードを適応後はこのようにバージョン情報が非表示になります。

WordPressのバージョンは常に最新にすべき

WordPressのシェア率は全Webサイトの40%以上と言われています。シェア率が高いため悪意のあるハッカーにとって絶好のターゲットです。一つのセキュリティーの脆弱性を付くことによって多くのWebサイトに影響を与えることがでるので。

そのためセキュリティーの面からWordPressは常に最新の状態にしておく必要があります。弊社で運用管理しているWordPressの場合、WordPressのアップデートの度に動作検証を行い、常に最新の状態にしております。

一般的に検証作業はかなり面倒な作業になります。その理由は複数のプラグインを使用しており最新バージョンのWordPressとの互換性の確認に時間がかかったり、複雑なスクラッチでのコードを追加している場合などが考えられます。

弊社では「WordPressプラグインの落とし穴5選」こちらの記事でもお伝えしましたが、セキュリティーの確保を第一と捉え、使用するプラグインの数を限定し、厳選して導入しています。

また、なるべくWordPressが提供しているロジックのみでコンテンツを構築できないか日々検証しております。