워드프레스 버전 정보 왜 삭제해야 하는가?

테마 개발을 어떻게 해야 잘했다고 소문이 날까 고민하다 보니 검색을 많이 하게 됩니다.
현재 진행형인 테마도 처음이라 그런지 당췌 어디서부터 손을 대야할 지 좀 막연합니다.
그래서 저와 같은 고충을 느끼시는 분들을 위해 앞으로 워드프레스 개발에 반영되어야 할 내용이다 싶은 것들은  하나하나 정리해 나가보도록 하겠습니다.

그럼, 그 첫번째는 워드프레스 버전 정보 왜 삭제해야 하는가? 입니다.

워드프레스는 기본적으로 워드프레스의 버전 정보를 페이지 코드에 포함하고 있습니다. 이는 특정 버전에서 알려진 취약점을 이용해 공격자들에게 공격을 받을 수도 있다는 이야기 입니다. 근본적으로 피할 수 있는 방법은 아니더라도 최소한 한개의 가능성은 배제할 수 있기에 가급적 이런 부분은 자신의 사이트에도 적용하면 좋지 않을까 싶습니다.

기본적으로 워드프레스의 wp_head() 훅이 호출될때 wp_generator()를 실행하게 됩니다.
여러분 테마의 header.php 파일 안 <head> 섹션에 다음과 같이 마크업되고 있습니다.

meta태그는 wp_head함수 안에 있습니다.
meta태그는 wp_head함수 안에 있습니다.

이것을 브라우저에서 보면 메타태그와 관련된 스크립트, CSS등이 출력되는데 그 중 generator라는 것이 있습니다.

사실 이게 얼마나 보안에 지대한 영향을 미칠까에 대한 이야기들은 많이 있습니다.
분명 논쟁의 여지는 있지만, 워드프레스로 만들어졌고 버전이 몇인지에 대한 정보는 누가봐도  generator 메타 태그로 통해 한눈에 파악할 수 있습니다.

이렇게 될 경우 로봇을 통해 사이트들을 검색하면 10중 팔구 걸리게 되있고 해당 버전에서의 취약점을 알고 있는 해커가 마음만 먹으면 충분히 공격할 가능성이 있다는 것 입니다.  이런 가능성들을 배제하기 위해서는 자신이 사용하는 해당 템플릿에 다음과 같이 코드 작성하시면 끝납니다.

현재 사용하시는 템플릿의 function.php를 편집모드로 열어줍니다.
2가지 방법이 있는데, 다음 아래와 같이 코드를 작성해 넣어주시면 모든 과정은 끝납니다.

첫번째 방법

 

두번째 방법

 

위 방법 2가지 다 동일하게 적용됩니다.
적용후 사이트 소스보기를 이용해 보시면 해당 <meta name=”generator”…가 없어진 것을 알 수 있을 것 입니다.

Published by

안반장

Web과 App 개발을 하고 있으며 최근 워드프레스에 관심이 많아져 네이버 카페 워드프레스 홈페이지의 TF팀으로 활동 중 입니다.개인적으로는 안반장의 개발 노트라는 블로그를 운영하면서 개발의 즐거움과 고충들을 차곡차곡 담아가고 있습니다.