Masquer la version de WordPress : pourquoi et comment le faire ?
Par défaut, WordPress affiche publiquement sa version sur votre site, notamment dans le code source et les en-têtes HTTP. Cette information peut sembler anodine, mais elle représente un risque de sécurité.
En connaissant la version exacte de WordPress utilisée, un attaquant peut exploiter des failles spécifiques aux versions non mises à jour. Pour éviter cela, il est recommandé de masquer cette information.
Dans cet article, nous allons voir pourquoi WordPress affiche sa version, les risques associés et comment la supprimer efficacement.
Pourquoi WordPress affiche-t-il sa version ?
WordPress intègre sa version dans plusieurs endroits de votre site :
- Balise
<meta name="generator">dans le code source. - Fichiers RSS et flux XML.
- Scripts et styles CSS chargés (
wp_head()etwp_enqueue_scripts). - En-têtes HTTP renvoyées par le serveur.
L’objectif initial est d’aider les développeurs et les administrateurs à identifier rapidement la version en cours, mais cela devient une faille potentielle lorsqu’elle est accessible à des attaquants.
Les risques de sécurité liés à l’affichage de la version
Laisser cette information visible peut avoir plusieurs conséquences négatives :
- Identification rapide des vulnérabilités : Les hackers utilisent des robots pour scanner les sites et détecter ceux utilisant des versions obsolètes de WordPress.
Garder votre site à jour est essentiel pour limiter ces risques. Découvrez pourquoi il est crucial de maintenir votre site WordPress à jour et éviter les failles de sécurité. - Exploitation des failles connues : Si vous utilisez une version vulnérable, un attaquant peut exécuter un exploit spécifique pour prendre le contrôle de votre site.
- Attaques automatisées : Certains bots cherchent uniquement les sites affichant des versions précises afin d’exécuter des attaques en masse.
Comment vérifier si votre version de WordPress est visible ?
Avant de la masquer, il est utile de vérifier si votre site affiche bien cette information.
Inspection du code source
- Faites un clic droit sur votre site et sélectionnez « Afficher le code source ».
- Recherchez la ligne contenant :
<meta name="generator" content="WordPress 6.7.2">Si elle est présente, votre version est visible.
6.7.2 correspond à la version de WordPress, la valeur peut donc être différente sur votre site.
Utilisation d’un outil en ligne
Vous pouvez utiliser un service comme https://rssviewer.app pour détecter la version de WordPress de votre site.
Vérification des flux RSS
Utiliser un lecteur RSS en ligne :
https://monsite.com/feed/
Si votre version WordPress y est mentionnée, elle est exposée.
Comment masquer la version de WordPress ?
Masquer la version de WordPress n’est qu’une première étape !
Sécuriser votre site WordPress ne se limite pas à masquer sa version. Pour une protection efficace, il est essentiel d’adopter une approche globale : mises à jour, protection contre les attaques, durcissement des accès… Je vous accompagne pour sécuriser votre site de manière complète et durable.
Renforcer la sécurité de mon site
Sans plugin (via functions.php et htaccess)
Si vous souhaitez éviter d’alourdir votre site avec un plugin, voici plusieurs méthodes efficaces :
Supprimer la balise meta generator
Ajoutez ce code dans le fichier functions.php de votre thème actif :
remove_action('wp_head', 'wp_generator');Supprimer la version dans les scripts et styles CSS
Ajoutez ce code dans functions.php pour éviter que la version WordPress apparaisse dans les fichiers JS et CSS :
function remove_wp_version_strings($src) {
if (strpos($src, 'ver=')) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('script_loader_src', 'remove_wp_version_strings');
add_filter('style_loader_src', 'remove_wp_version_strings');
Bloquer l’accès via .htaccess
Ajoutez ces lignes dans votre fichier .htaccess pour empêcher l’affichage de la version dans les en-têtes HTTP :
<FilesMatch ".*"> Header unset X-Powered-By </FilesMatch>
Avec un plugin (solution facile et rapide)
Si vous ne souhaitez pas modifier le code, plusieurs plugins permettent de masquer la version de WordPress facilement :
Sucuri Security
- Installez et activez le plugin Sucuri Security.
- Allez dans Paramètres > Durcissement et activez l’option Hide WordPress Version.
WP Hide & Security Enhancer
- Installez WP Hide & Security Enhancer.
- Allez dans WP Hide > General > Hide WordPress Version et cochez l’option pour masquer la version.
Hide My WP
- Ce plugin premium offre une protection avancée contre les attaques.
- Il permet non seulement de masquer la version WordPress, mais aussi d’autres informations sensibles (nom des fichiers, accès aux répertoires, etc.).
Vérifications après modification
Une fois que vous avez appliqué une des méthodes ci-dessus, vérifiez que la version WordPress ne s’affiche plus :
- Vérifiez le code source en recherchant la balise
<meta name="generator">. - Testez à nouveau les outils en ligne comme Wappalyzer pour voir si votre version est détectée.
- Rechargez les fichiers CSS et JS pour vous assurer que les paramètres ont bien été appliqués.
Conclusion
Masquer la version de WordPress est une étape simple mais essentielle pour limiter les risques d’attaques automatisées. Cependant, ce n’est qu’une partie d’une stratégie de sécurité plus large. Il est également crucial de mettre à jour régulièrement votre site, d’utiliser un pare-feu et d’adopter des pratiques de sécurisation avancées.
Vous voulez aller plus loin ? Consultez mon guide complet sur comment sécuriser efficacement votre site WordPress pour découvrir d’autres bonnes pratiques essentielles.
Protégez votre site dès maintenant !
Les cyberattaques ciblent en priorité les sites les plus exposés. Ne laissez pas votre site devenir une cible facile. Je vous accompagne dans la sécurisation de votre WordPress avec des solutions personnalisées pour éliminer les vulnérabilités et renforcer votre protection.
Désactiver les pages auteurs sur WordPress : pourquoi et comment ?
