Wordpress

Generator Meta Tag Kaldırmak

WordPress site kullanıyorsanız kaynak kodlarına bakıldığında aşağıda yer alan ifadeyi görüyor olmalısınız.

<meta name="generator" content="WordPress 4.3.1"/>

Bunun anlamı sitenin wordpress ile oluşturulduğuna işarettir ancak hemen yanında mevcut site üzerinde kurulu olan wordpress sürümü de yayınlanmaktadır. Aslında bir güvenlik açığı olmasa da ilerleyen dönemlerde bir güvenlik açığı olabilecek bir bilgiyi vermekte wordpress generator. Bir sistem mühendisi mantığı ile yani en kötü senaryo ile düşünelim isterseniz. WordPress bir site açtınız, bot bağladınız içerikler otomatik olarak cronjob ile siz panele giriş bile yapmadan oluşturulup, yayınlanıyor. Aradan uzun bir süre geçti ve siteniz kendi kendini güncelleme yetisine sahip olmasından dolayı siz panele bile girip bakmıyorsunuz sadece yayınladığını reklamların gelir durumlarını izlemek için reklam veren paneline girip günlük kazancınıza bakıyorsunuz ve bir gün baktığınızda günlük gelirinizin hatta günlük listelenmenizin hiç olmadığını görüyorsunuz (aslında başka bir şekilde de olabilir gereksiz reklam linkleri içeren içeriklerin sql injection ile yayınlandığını ve sitenizin bir link çöplüğüne döndüğünü  de görebilirsiniz). Tabi ki ardından ilk bakılacak olay kullandığınız eklentilerde oluşabilecek bir açık, ardından tema dosyalarınızın içerisine koyulmuş (özellikle warez tema kullananların başına sık sık gelmekte) shell script. Aslında birden çok nedeni olabilir sunucu güvenliğinin zayıf olması, mevcut kullandığınız bilgisayarınızda bulunan bir keylogger yazılımı ile kullanıcı adı şifre gibi bilgilerin üçüncü tekil şahışlara ulaşması gibi birçok senaryo çizilebilir. Ancak bu işler başımıza gelmeden önce ne kadar çok önlem alırsak o kadar iyi. Herşeyden önce lisanslı yazılım ve uygulamalar diye bağırıyoruz bunun en büyük nedeni zararlı yazılımların olma ihtimalinin çok düşük olması, ardından kaliteli bir host firması tarafından host hizmetinin sağlanması diyoruz ki en önemlilerinden biridir bence. Bilgisayarınız da kullanmakta olduğunuz yazılımlarında lisanslı olması ya da open source (açık kaynak) lisans problemi olmayan yazılımlar ki bunların içerisinde de en fazla reklam yazılımları bulunur kurmadan önce soracaktır kurayım mı diye adımları iyi takip eder en sevilen bilgisayar kullanıcısı profili oluşturmazsanız (her şeye ileri ve tamam diyen kullanıcı tipidir kendileri) herhangi bir sorun ile karşılaşmazsınız. Geriye kalan tek nokta wordpress sürümünüzün güncellenmemiş ve public edilmiş bir açık sayesinde google dork aramaları sonucunda sitenize ulaşılması ve bu public açığın kullanılarak sitenize post, user eklenmiş olmasıdır. Yani wordpress generator bir çok kötü niyetli kişi tarafından public edilmiş açıkların kullanılmasına istemeden de olsa izin vermekte.

WordPress Generator Kaldırma

WordPress generator kaldırmanın iki farklı yolu var öncelikle ben önerdiğim yöntemi paylaşacağım ardından önermediğim yöntemi paylaşıp neden önermediğimi de ekleyeceğim.

1.Yol

Kullanmakta olduğunuz tema klasörü içerisinde bulunan functions.php dosyasını açın yoksa yeni bir functions.php dosyası oluşturun.

ve en son satıra ?>’ dan önce

remove_action('wp_head', 'wp_generator');

kodunu yapıştırın, kaydedin ve sunucuya gönderin ardından sayfanızı yenileyip kaynak kodu görüntüleyin ve generator tagının olmadığını göreceksiniz. Benim kesinlikle önerdiğim yöntem budur. Bu yöntemin tek bir dezavantajı vardır. O da sayfanızın fazladan nur topu gibi bir fonksiyonu daha olmasıdır. Performans açısından bence bir sıkıntı yaratacağını düşünmemekteyim.

2.Yol

wp-includes klasörü içerisinde yer alan default-filters.php dosyasını açıyor ve 201. satırda olan aşağıdaki kodu aratıyoruz;

add_action( 'wp_head', 'wp_generator' );

bu satırın başına // koyduğumuzda bu satır pasif olacak haliyle işlenmeyecektir. Ancak gelen wordpress güncellemelerinde bu dosyaların varsayılan, yeni güncellenmiş dosyalar ile değiştirilmesi gibi bir durum söz konusu olacaktır. Her wordpress güncellemesinden sonra bu satırın halen pasif ve wordpress generetor kaldırma işleminin halen geçerli olduğunu test etmeniz gerekecektir. Bu sebepten dolayı ben bu yolu tavsiye etmeyenlerdenim.

Yorum ekle