Hvordan skjule WordPress-versjon og sikre HTTP-headere (guide 2026)

Innen datasikkerhet finnes konseptet “Rekognosering”. Før en hacker angriper, skanner de. Hvis siden din stolt sier: “Hei! Jeg kjører WordPress 5.8.1!”, ruller du ut den røde løperen.

I denne omfattende guiden skal vi implementere ekte serversikkerhet.

#Del 1: “Generator”-problemet

Standard WordPress injiserer: <meta name="generator" content="WordPress 6.7.1" />

#Løsningen (PHP snippet)

Legg dette til i functions.php:

remove_action('wp_head', 'wp_generator');
remove_action('rss2_head', 'the_generator');

function wppoland_remove_version_scripts_styles($src) {
    if (strpos($src, 'ver=')) {
        $src = remove_query_arg('ver', $src);
    }
    return $src;
}
add_filter('style_loader_src', 'wppoland_remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'wppoland_remove_version_scripts_styles', 9999);

#Del 2: Security headers

Headere er låsene på døren din.

#1. X-Frame-Options

Hindrer at siden din lastes i en <iframe>.

<IfModule mod_headers.c>
  Header always append X-Frame-Options SAMEORIGIN
</IfModule>

#2. Strict-Transport-Security (hsts)

Tvinger nettlesere til ALLTID å bruke HTTPS.

<IfModule mod_headers.c>
  Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>

#Del 3: Deaktiver XML-RPC

xmlrpc.php er utdatert og mål nr. 1 for Brute Force-angrep.

I .htaccess:

<Files xmlrpc.php>
  order deny,allow
  deny from all
</Files>

#Del 4: Filtillatelser

• Mapper: 755
• Filer: 644
• wp-config.php: 400 eller 440.

#Oppsummering

1. Skjul info (Fjern versjon).
2. Sikre tilkobling (HSTS).
3. Lukk dører (XML-RPC).
4. Lås vinduer (Tillatelser).

Explore os nossos serviços de segurança WordPress para levar o seu projeto mais longe.