(modifié le 19 février 2014 à 1:29)

Tout le monde sait qu'il faut masquer la version de votre CMS WordPress, surtout s'il est faillible, et vous n'avez pas besoin de 410 000 euros du contribuables...

Parmi les méthodes les plus connues on trouve celle du remove_action mais de nombreux blogs contiennent aussi un fichier readme.html à la racine du blog, dans laquelle la version WordPress est présente (et en gros) :

readme

J'ai fait un tour sur le top e-buzzing et le nombre de blogs qui ne sont pas à jour et dont la version s'affiche grâce au readme est juste hallucinante : aucun des dix premiers blogs n'est à jour et le plus faillible est en version 3.3.2 (avril 2012 !).

Que faire ?

C'est une connerie de la part de WP de laisser ce fichier après l'installation, il faudrait au minimum le renommer en readme_xxxx.html avec xxx une chaine de caractères aléatoire.

Vous pouvez bien sûr supprimer le fichier mais il reviendra à chaque mise à jour de WordPress, le mieux est donc d'interdire son accès via un fichier .htaccess à la racine de votre blog en ajoutant :

<Files readme.html>
 deny from all
 </Files>

Vous obtiendrez ainsi une erreur 403, même si le fichier est absent. Vous pouvez aussi bloquer license.txt et wp-config-sample.php qui ne servent pas en production.

A vos FTP, corrigez !

MàJ 19/02/2014 : je vous invite à utiliser les directives de Djerfy, plus complètes

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter