WordPress除了信息头、插件和readme.html默认显示WordPress版本信息外,最危险的文件来自于wp-admin/install.php。install.php是首次安装WordPress的必要文件,因此其权限很高,传说黑客可通过其取得服务器控制权。至少install.php也在完整暴露WordPress版本信息。
install.php
WordPress安装成功后,wp-admin/install.php不会自动删除。虽然其在浏览器中显示为:
但是,其源代码默认包含WordPress版本信息:
<link rel='stylesheet' id='buttons-css' href='https://enkoo.top/wp-includes/css/buttons.min.css?ver=3.9.1%27%E2%80%A6%E2%80%A6 />
<link rel=’stylesheet’ id=’open-sans-css’ href=’//fonts.googleapis.com/css?……;ver=3.9.1’……/>
<link rel='stylesheet' id='install-css' href='https://enkoo.top/wp-admin/css/install.min.css?ver=3.9.1%27%E2%80%A6%E2%80%A6/>
评论
6 条对“WordPress隐藏版本号之——install.php”的回复
那博主的意思就是说安装完毕后,我们要人工删除吧?
是的,这个文件可以在安装成功后随便处理,所以懒得写处理方法了。
没写怎么隐藏的。
这个处理比较简单——直接删除、改名、改权限、清空、限制访问等都可以,所以就不赘述了。
还是应该动动手解除后患的
WordPress就是够得折腾啊