Vor der Version 2.5 von WordPress stand in jedem Template eine Zeile, die in etwa so lautete:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> Mit zunehmenden Hackerattacken auf Wordpress-Installationen, wurde genau diese Zeile immer unpopulärer. Jeder besserer Artikel, der weltweit im Internet zum Thema Sicherheit von WordPress erschien, empfahl diese Zeile aus den Themes zu entfernen.
Nun kann man darüber streiten, ob das wirklich eine Maßnahme zur Erhöhung der Sicherheit ist. Aber zumindest ist es ein Schritt, um es möglichen Angreifern ein klein wenig schwerer zu machen.
Auf alle diese Artikel haben die Wordpress-Entwickler mit einer ganz eigenen Entwicklung reagiert: Ab Version 2.5 von WordPress wird dieser Meta-Tag automatisch in den Head-Bereich eingebaut..Das heißt: Auch wenn man den Meta-Tag generator nicht im Template stehen hat, wird er trotzdem hineingeschrieben.
Das Ganze geschieht in der Datei wp-includes/general-template.php innerhalb der Funktion get_the_generator. Dort heißt es zum Beispiel für HTML und XHTML:
...
switch ($type) {
case 'html':
$gen = '<meta name="generator" content="WordPress ' . get_bloginfo( 'version' ) . '">' . "n";
break;
case 'xhtml':
$gen = '<meta name="generator" content="WordPress ' . get_bloginfo( 'version' ) . '" />' . "n";
break;
...Insgesamt wird über diese Funktion die WordPress-Version in den Quellcode für die Typen HTML, XHTML, ATOM, RSS2, RDF, COMMENT und EXPORT geschrieben.
Nicht nur das man als “Normalanwender” einer WordPress-Installation machtlos ist, meiner Meinung nach, hätte dieser Punkt von den Entwicklern in den Releasenotes durchaus mehr herausgestellt werden müssen.
Zum Glück haben die Entwickler mit dem Einbau eines Filter-Aufrufs eine Möglichkeit gelassen, um den generierten generator-Tag zu verändern. Und genau diesen nutze ich in einem Plugin, dass ich heute kurz vorstellen möchte. Der Name ist “IWG No Generator Version”. Das Plugin ersetzt in allen Ausgabeformaten außer Export die Versionsnummer durch den Blognamen.
Nach dem Download des Plugins wird dieses wie üblich in wp-content/plugins installiert und im Plugin-Menü aktiviert. Sofort nach der Aktivierung wird automatisch im Quelltext die Versionsnummer durch den Blognamen ersetzt.
am 09.08.2008 um 12:20 Uhr:
Hey, wirklich vielen Dank für dieses Plugin. Ich habe mich echt gewundert warum das meta tag immer wieder auftauscht obwohl ich es überall entfernt habe! Hau rein
am 27.11.2008 um 18:12 Uhr:
Der Download funktioniert nicht? Die Datei hat 0 Bytes?