June 12, 2018

¿Cómo ocultar de tu web la versión de WordPress instalada?

Realmente no podemos afirmar que ocultar la versión de tu WordPress pueda resultar en una mejora de seguridad que te protege de ataques de hackers maliciosos… pero como suele ser uno de eso consejos que se suelen recomendar, aquí te lo presento aunque es probable que no sirva de nada… sorry 😉

Un tip de seguridad para tu pagina web creada con WordPress es precisamente tratar de ocultar con qué versión de WordPress trabaja, ya que es algo que por defecto se muestra de modo público.

¿Cuál es el problema de mostrar públicamente la versión de WordPress? En principio ninguno si sigues las buenas prácticas y mantienes en todo momento tu instalación actualizada.

El problema surge cuando no mantienes tu WordPress instalado bien actualizado, y alguien con malas intenciones, que normalmente es un robot rastreador de vulnerabilidades, busca páginas web que tengan versiones anteriores de WordPress que han sido declaradas con vulnerabilidades para tratar de atacar tu sitio en internet.

Lo curioso es que si eres de los que no actualizan tu sitio web, tampoco te estarás preocupando de aspectos de seguridad como ocultar la versión de instalación, ya que el primer aspecto de seguridad es precisamente mantenerte actualizado a la última versión estable.

Si desarrollas web para otros que no sabes si mantendrá su instalación actualizada y quieres dejar este aspecto cubierto, o también si por algún motivo tienes incompatibilidades y no quieres o no puedes actualizar, te vendrá bien saber cómo ocultar tu versión de WordPress instalada.

Para ocultar el número de versión de WordPress en tu página web, solo tienes que añadir a tu plugin personalizado o al fichero functions.php de tu tema activo un par de líneas de código.

// Borrar la etiqueta informativa del head
remove_action('wp_head', 'wp_generator');

// Borrar la versión del RSS
add_filter('the_generator', '__return_empty_string');

Incidir aquí que esto no se recomienda hacer por suponer que WordPress es un coladero de virus o ataques… como algunos puedan decir en algún momento… El motivo es que es un código abierto en el que todo el mundo puede colaborar para mejorarlo, y cuando esto se hace, es de dominio público qué aspectos se han mejorado, y por tanto que vulnerabilidades se han solventado en la nueva versión, y en conclusión qué debilidades existen en aquellas instalaciones con versiones anteriores.

Es paradójico pero precisamente que salgan vulnerabilidades no significa que no sea seguro, sino que mucha gente trabaja en que lo sea y esto al ser codigo libre es posible, pero también supone que las mejoras (incluidas posibles vulnerabilidades) sean públicas.

Existe al menos otro lugar donde se puede encontrar la versión WordpPress de modo público, y es en el archivo readme.html que se encuentra en la raíz de su instalación. ¿La solución? Sencillamente eliminarlo ya que NO es un fichero necesario.

Puedes borrar el fichero readme.html directamente acccediendo por FTP, por el gestor de archivos de tu hosting o también usando mi plugin: Simple Blueprint Installer, que entre otras cosas… también te permite hacer esto desde el propio panel de control.

Si te ha gustado... ¡Compártelo!