Masquer la version de WordPress - Formation WordPress en ligne

Progression du Chapitre :

6 à 7 minutes Niveau : Intermédiaire

Objectif de cette astuce

Comprendre où WordPress expose sa numéro de version, pourquoi c’est un risque, et comment le supprimer des quatre endroits où il apparaît.

Pourquoi masquer la version ?

WordPress affiche son numéro de version à plusieurs endroits dans le code source de chaque page. Les hackers utilisent des robots pour scanner les sites et détecter ceux utilisant des versions obsolètes de WordPress. Si vous utilisez une version vulnérable, un attaquant peut exécuter un exploit spécifique pour prendre le contrôle de votre site. Charrasse

En connaissant la version exacte installée, un robot sait instantanément quelles failles sont exploitables sur ce site précis — sans même avoir besoin d’en chercher. Masquer cette information ne rend pas le site invulnérable, mais c’est une mesure de discrétion qui complique la collecte d’informations automatisée.

Conseil de formateur : Masquer la version ne remplace pas les mises à jour — c’est complémentaire. Un site à jour mais dont la version est visible reste plus sûr qu’un site obsolète dont la version est masquée.

Où la version apparaît-elle exactement ?

Faites un clic droit sur n’importe quelle page WordPress → Afficher le code source → Ctrl+F → tapez generator ou ver=.

Code source d'une page WordPress : 4 endroits où la version est exposée

La version apparaît à 4 endroits distincts :

1. La balise <meta name="generator"> dans le <head> du HTML — visible de tout visiteur qui consulte le source.

2. Le flux RSS — la balise <generator> dans le XML indique https://wordpress.org/?v=6.4.1.

3. Les URLs des fichiers CSS et JavaScript — chaque fichier chargé porte un paramètre ?ver=6.4.1 en fin d’URL.

4. Le fichier readme.html — livré avec chaque installation WordPress, accessible à monsite.com/readme.html, il affiche la version en gros titre. Ce fichier n’est pas nécessaire au fonctionnement de votre site et contient le numéro de version de votre site WordPress.

Méthode 1 — Via `functions.php` (recommandée, couvre 3 emplacements sur 4)

Toujours utiliser un thème enfant pour ce type de modification — une mise à jour du thème parent n’écrasera pas votre functions.php enfant.

Le code complet dans functions.php avec annotations par emplacement

/* ============================================================ */
/* ==   MASQUER LA VERSION WORDPRESS — 3 emplacements       == */
/* ============================================================ */

/* 1. Supprime la balise <meta name="generator"> du <head> */
remove_action('wp_head', 'wp_generator');

/* 2. Supprime la version du flux RSS */
add_filter('the_generator', '__return_empty_string');

/* 3. Supprime ?ver=X.X.X des URLs CSS et JS */
function masquer_version_scripts_styles($src) {
    if (strpos($src, 'ver=')) {
        $src = remove_query_arg('ver', $src);
    }
    return $src;
}
add_filter('style_loader_src',  'masquer_version_scripts_styles', 9999);
add_filter('script_loader_src', 'masquer_version_scripts_styles', 9999);

Attention sur le point 3 : supprimer le paramètre ?ver= des CSS et JS peut perturber le cache navigateur lors des mises à jour. Sur certaines configurations, des fichiers mis à jour ne seront pas rechargés immédiatement par le navigateur des visiteurs. À surveiller après mise en place.

Méthode 2 — Supprimer `readme.html` via FTP (4e emplacement)

Ce fichier ne sert à rien en production. Connectez-vous via FTP (FileZilla) ou le gestionnaire de fichiers cPanel, naviguez à la racine du site (/public_html), et supprimez readme.html.

Code source après masquage (version absente) + suppression de readme.html via FTP

Note : à chaque mise à jour majeure de WordPress, readme.html est recréé. Pensez à le supprimer à nouveau après chaque mise à jour, ou automatisez-le avec un hook upgrade_process si vous êtes à l’aise avec le code.

Méthode 3 — Via une extension de sécurité (sans toucher au code)

Si vous préférez ne pas modifier de fichiers, plusieurs extensions gèrent cette fonctionnalité en un clic :

Wordfence Security → All Options → “Hide WordPress version” → cocher.

All In One Security (AIOS) → WP Security → User Login → cocher “Remove WP Generator Meta Info”.

WP Hide & Security Enhancer → WP Hide → General → Hide WordPress Version.

Ces extensions couvrent généralement les mêmes 3 à 4 emplacements que la méthode manuelle.

Limite importante à connaître

Masquer la version dans le code source ne la rend pas totalement invisible. Des outils comme Wappalyzer ou des scanners de sécurité avancés peuvent parfois déduire la version à partir d’autres indices (structure des fichiers, fonctionnalités présentes, etc.). En masquant la version, vous compliquez la tâche des hackers qui souhaitent utiliser ces informations pour mener des attaques ciblées mais cela reste une mesure de discrétion, pas une protection absolue.

La meilleure protection reste de maintenir WordPress à jour : si votre installation est à jour, même si la version est connue, les failles connues sont corrigées.

Emplacement	Solution	Méthode
<meta name=”generator”>	remove_action(‘wp_head’, ‘wp_generator’)	functions.php
Flux RSS	`add_filter('the_generator', '__return_empty_string')`	functions.php
URLs CSS / JS (`?ver=`)	Filtre `style_loader_src` + `script_loader_src`	functions.php
readme.html	supprimer le fichier	FTP/ cPanel

Ce qu’il faut retenir

Masquer la version WordPress est une mesure de sécurité passive : elle ne bloque pas les attaques, mais réduit la surface d’information disponible pour les robots de scan automatisé. Combinée aux autres astuces de cette thématique — limiter les tentatives de connexion, désactiver l’éditeur de fichiers, changer le préfixe des tables — elle contribue à durcir globalement le profil de sécurité du site.

← Leçon Précédente Chapitre Suivant →