Aujourd’hui on va se faire un petit billet pour parler du meta generator de wordpress. Si vous ne savez pas ce que c’est, il suffit de vous rendre sur votre blog sous wordpress avec firefox, vous appuyez sur CTRL+U, vous obtenez donc les sources de la page. Ensuite vous faîtes CTRL+F pour  obtenir la recherche rapide qui s’affiche en bas à gauche et vous allez taper « generator » et voilà, vous êtes sur la ligne meta qui indique le generator.

Pour être plus précis, le meta generator est indiqué sur la plupart des CMS et permet d’identifier sur quel CMS tourne le site ainsi que sa version. Dans beaucoup de situation cela peut être pratique mais lorsqu’il s’agit d’une aide pour quelqu’un qui veut hacker votre site, ça le fait beaucoup moins. En effet, lorsque l’on sait sur quel version le site cible tourne cela permet de beaucoup plus simplement ciblé une attaque. Par exemple la faille du reset password sur la version 2.8.3 de wordpress qui permettait de faire un reset du password en spécifiant une url précise. Ok, ce n’est pas une attaque mais ça peut être super chiant. Et il existe sur pratiquement chaque version de wordpress des failles XSS.

Si vous mettez votre blog à jour régulièrement cette astuce ne vous sera pas trop utile, bien que le temps de sortir le correctif puisse suffire à ce que vous subissiez une attaque. On va donc voir plusieurs méthodes pour enlever le generator ou plus simplement enlever la version de wordpress utilisée.

On commence par la méthode radicale qui permet de supprimer totalement la ligne du meta generator :

ajoutez ceci dans le fichier functions.php de votre thème :

remove_action(‘wp_head’, ‘wp_generator’);

Pour ce qui est de la méthode simple qui enlève simplement la version de wordpress, il s’agit de deux plugins :
-Le premier est disponible à cette adresse : http://just-thinkin.net/2008/04/wordpress-25-plugin-keeps-the-version-out-of-source/
-Le second est disponible à cette adresse : http://blogsecurity.net/wordpress/bs-wp-noversion