הסרת תגית מטא generator

10 בדצמבר 2009 | מאת רמי | 12 תגובות | תגיות: generator, Meta Tags, remove_action, wp_generator, wp_head, אבטחה, תגיות מטא

כידוע תגיות מטא (Meta Tags) משמשות לתאר את המידע המוצג בדף HTML. קיימות תגיות מטא שונות כשהעיקריות שבהן מגדירות מידע כגון כותרת, תיאור, מילות מפתח, שפה, קידוד, ועוד. בדפי HTML תגיות מטא מוגדרות ב <header> והמידע עצמו מוצג ב <body>. עד פה הרקע.

תגיות מטא בוורדפרס

בוורדפרס, מפתח ערכת עיצוב (וכל בעל בלוג עם ידע טכני מתאים) יכול להכניס או להסיר תגיות מטא תוך עריכת קובץ header.php. הבעיה היא שקיימות מספר תגיות מטא המוזנות אוטומטית על ידי המערכת דרך פונקציית wp-header() עליהם אין לנו שליטה.

מבין כל אותן תגיות שמוזנות אוטומטית, התגית הבעייתית היא:

תגית זו חושפת בפני כולם איזו מערכת יצרה את דף. בגדול אין פה שום בעיה, להפך, וורדפרס נחשפת כמערכת ניהול תוכן ומנועי חיפוש יודעים לקטלג טוב יותר את האתר לפי חתכים שנקבעו מראש לאתרים מהסוג הזה (אתרי וורדפרס מקוטלגים אוטומטית כבלוגים).

סיכוני אבטחה

הבעיה מתעוררת כאשר עושים שימוש לרעה במידע זה. לאחרונה שמענו על מספר וירוסים ותולעים למיניהם שעושים שימוש בפרצות שהתגלו בוורדפרס. הפרצות כה חמורות עד כי המפתחים יצאו בהכרזה רשמית לכל המשתמשים שמערכת מוגנת היא מערכת מעודכנת.

ובכן, תולעים אלה סורקים את הרשת כדי למצוא אתרים שעושים שימוש במערכות ישנות ואז תוקפים אותם. כאשר אתר חושף מידע אודות המערכת בה הוא עושה שימוש והגרסה המדויקת של המערכת, הוא מקל על התולעת וחושף עצמו במודע למתקפה.

איך מסירים את התגית?

כדי להקשות על אותם תולעים, מומלץ להסתיר תגית מטא זו. הסתרת התגית מבוצעת בעזרת אקשן (Action) בשם wp_head ממנו נסיר את wp_generator, תוך שימוש בקוד הבא:

remove_action( 'wp_head', 'wp_generator' );

את הקוד יש להוסיף לקובץ functions.php שבערכת העיצוב.

מאת רמי

מייסד האתר והעורך ראשי שלו. מפתח אתרים מבוססי וורדפרס, תורם (מדי פעם) לפיתוח המערכת, פעיל בקודקס האנגלי, אחראי על אתר וורדפרס בעברית, אחראי על תרגום וורדפרס לעברית, והחל מגרסה 3.3 אחראי על שחרור גרסאות וורדפרס בעברית.

12 תגובות »

חתול כותב :

הסיבה היחידה להסתיר את הגירסה היא כאשר משתמשים במערכת לא מעודכנת.
פשוט מומלץ לעדכן תמיד לגירסה החדשה ביותר ואז אין בעיה.

# 20 בדצמבר 2009 בשעה: 18:41

רמי כותב :

הרבה פרילנסרים מרימים אתרי וורדפרס ללקוחות מזדמנים. אם אתה לא מוכר ללקוח שירותים נלווים כמו עדכון ותחזוקה, עדיף להוסיף לו את הפילטר הזה (לכל מקרה).

בלי לציין שמות, נתקלתי בכמה אתרים גדולים יחסית שהריצו מערכת וורדפרס ישנות (אחד מהם עדיין רץ על 2.3). אותם אתרים לא מעדכנים את המערכת כי מי שמפעיל אותם הם בעיקר אנשי תוכן שלא מבינים בתכנות.

# 20 בדצמבר 2009 בשעה: 20:45

מני כותב :

רמי תכל'ס אם האתר הוא סטאטי ולא מתעדכן מה הבעיה שהוורדפרס לא מעודכן גם מבחינת מטא . הרי ביחנכה הוא מאונדקס כבר

# 9 בפברואר 2010 בשעה: 11:34

מני כותב :

בינכה

# 9 בפברואר 2010 בשעה: 11:35

רמי כותב :

מני, אבטחה היא שם המשחק (לא אינדוקס). אתר סטטי שלא מתעדכן הרבה, כנראה שהבעלים שלו גם לא מבקר בו הרבה. וזה לא נעים לגלות שבשבוע האחרון האתר לא הציג את התכנים התדמיתיים של החברה אלא הציג הפניה לאתרי פורנו או הציע לקנות מוצרים לזיקפה ארוכה, כל זאת בגלל שמישהו פרץ את מנגנוני האבטחה שלך.

הסתרת גרסה לא מונעת פרצות, אבל זאת עוד שכבת הגנה.

# 10 בפברואר 2010 בשעה: 22:31

אסף כותב :

שאלת תם: למה להוסיף קוד ולא למחוק את המטה ידנית ?

# 19 באפריל 2010 בשעה: 15:31

רמי כותב :

אסף, המטא לא נמצאת בערכת העיצוב. לכן אתה לא יכול למחוק אותה ידנית.

# 19 באפריל 2010 בשעה: 20:47

בן כותב :

כמה זמן חיפשתי את הדבר הזה , תודה!!

# 22 בדצמבר 2010 בשעה: 15:08

משה כותב :

האם זה עובד גם בגרסה החדשה של וורדפרס

כי אני עדיין מקבל את זה
WordPress 3.3.1
במאפיני האתר

# 9 בינואר 2012 בשעה: 21:50

רמי כותב :

עדיין עובד.

# 10 בינואר 2012 בשעה: 14:20

משה כותב :

אני משתמש בערכת עיצוב weaver
והיא גורמת שזה יוצג בערכות אחרות הצלחתי לבטל את זה

# 15 בינואר 2012 בשעה: 23:10

משה כותב :

הצלחתי העורך המקוון פשוט לא שמר את הפונקציה למרות שהוא בהחלט הראה אותה

הורדתי את הקובץ שיניתי אותו אצלי והעלתי בחזרה

# 15 בינואר 2012 בשעה: 23:22

wp-tricks.co.il