Riconoscere la versione di WordPress in uso sul proprio sito non è complicato. Infatti è riportata nel widget di bacheca “In sintesi”. C’è però anche la possibilità di capire, il più delle volte, quale sia la versione di WordPress in uso su un determinato sito web che visitiamo ma senza avere un account… come?
I file incorporati su WordPress, come i fogli di stile CSS ed i file javascript caricati sulle varie pagine, di predefinito vengono caricati con una variabile querystring che riporta appunto la versione del CMS in uso
<script type='text/javascript' src='https://wpskills.it/wp-includes/js/wp-embed.js?ver=5.1'></script>
Questa tecnica è dovuta al fatto che in questo modo il file verrà salvato sulla cache del browser nella versione corrente, se in futuro il sito sarà quindi aggiornato ad una versione superiore la querystring (che non ha alcun effetto sul codice javascript contenuto nel file) cambierà e così i browser capiranno di dover aggiornare la versione del file salvata sulla cache. Inoltre, nel codice sorgente del sito è presente di predefinito un metatag “generator” che riporta appunto la versione di WordPress in uso.
<meta name="generator" content="WordPress 5.1" />
Se le informazioni sono nascoste
Tuttavia spesso gli amministratori di siti WordPress preferiscono celare questi elementi per rendere più complicato identificare la versione di WordPress da loro in uso in quanto questo espone ad eventuali problemi di sicurezza: sapere che versione di WordPress è in funzione su un determinato sito permette di conoscere quali aggiornamenti di sicurezza ancora non erano stati apportati su quella versione e quindi un eventuale hacker risulterebbe agevolato sotto diversi punti di vista.
WordPress però espone la versione in funzione anche su un altro file, più complicato da modificare ed impossibile da cancellare (al limite bisognerebbe disattivare la funzionalità). Sto parlando del feed RSS, che risponde all’indirizzo miosito.tlc/feed/.
<generator>https://wordpress.org/?v=5.1</generator>
Abbiamo visto quindi che esistono diversi modi per capire quale versione di WordPress sia in funzione su un determinato sito web, pur non avendo accessi da amministratore.
Lascia un commento