WordPress除了信息头、插件和readme.html默认显示WordPress版本信息外，最危险的文件来自于wp-admin/install.php。install.php是首次安装WordPress的必要文件，因此其权限很高，传说黑客可通过其取得服务器控制权。至少install.php也在完整暴露WordPress版本信息。

install.php

WordPress安装成功后，wp-admin/install.php不会自动删除。虽然其在浏览器中显示为：

但是，其源代码默认包含WordPress版本信息：

<link rel=’stylesheet’ id=’buttons-css’ href=’https://www.enkoo.net/wp-includes/css/buttons.min.css?ver=3.9.1’…… />
<link rel=’stylesheet’ id=’open-sans-css’ href=’//fonts.googleapis.com/css?……;ver=3.9.1’……/>
<link rel=’stylesheet’ id=’install-css’ href=’https://www.enkoo.net/wp-admin/css/install.min.css?ver=3.9.1’……/>