Secara default WordPress tidak menyembunyikan versi WordPress yang digunakan. Masalahnya adalah informasi ini merupakan celah keamanan yang dapat dimanfaatkan oleh hacker.
Karena alasan inilah menghapus versi WordPress agar tidak muncul ketika di-inspect pada browser menjadi penting untuk meningkatkan keamanan website. Sayangnya, langkah keamanan yang terlihat sepele ini sering diabaikan oleh pemilik website.
Dalam data yang dirilis oleh Patchstack, perbandingan jumlah kasus celah keamanan WordPress antara tahun 2023 dan 2024 meningkat 34%. Pada tahun 2024 mereka mengumpulkan setidaknya ada 7.966 kasus yang terdaftar.
Apakah Anda masih ingin mengabaikan pentingnya meningkatkan keamanan WordPress?
Mengapa Website Anda Berisiko Tinggi?
Bayangkan jika rumah Anda memiliki papan nama yang tidak hanya menunjukkan alamat, tetapi juga jenis kunci, sistem keamanan, dan bahkan kapan terakhir kali Anda mengganti gembok. Itulah yang terjadi ketika WordPress menampilkan nomor versinya secara publik.
Sebagai langkah pertama yang biasa dilakukan oleh hacker dalam melakukan hacking adalah dengan mengidentifikasi versi WordPress. Kegiatan ini dilakukan dengan memanfaatkan bot atau machine learning yang khusus dibuat untuk menemukan svrsi yang sudah usang.
Di Mana WordPress “Membocorkan” Informasi Rahasia Ini?
WordPress secara default menampilkan nomor versi di beberapa tempat yang mudah diakses oleh siapa saja:
- Meta Tag Generator – Tersembunyi di source code halaman Anda, namun mudah ditemukan oleh scanner otomatis. Tag ini seperti memberikan blueprint kepada penyerang.
- File CSS dan JavaScript – Setiap file asset memiliki parameter ?ver=6.5.3 yang mengekspos versi WordPress. Parameter ini ditambahkan untuk cache busting, tetapi juga menjadi informasi berharga bagi hacker.
- RSS Feed – Feed RSS Anda juga mengandung informasi generator yang mencantumkan versi WordPress. Bahkan subscriber yang tidak berniat jahat dapat melihat informasi ini.
Dampak Nyata dari Eksposur Versi WordPress
Bayangkan jika setiap kali Anda keluar rumah, ada papan nama yang menunjukkan jenis kunci pintu dan sistem keamanan yang Anda gunakan. Itulah yang terjadi ketika WordPress menampilkan nomor versinya secara publik.
Kasus nyata menunjukkan betapa berbahayanya hal ini. Pada akhir 2023, WordPress harus segera merilis update darurat versi 6.4.2 karena ditemukan celah keamanan serius. Kerentanan ini memungkinkan hacker mengambil alih kontrol penuh website jika dikombinasikan dengan plugin tertentu.
Yang lebih mengkhawatirkan adalah respons pemilik website yang sangat lambat. Ketika sebuah plugin Backup Migration (yang digunakan 80,000+ website) mengalami kerentanan kritis dengan tingkat bahaya 9.8/10, hampir 50,000 website tetap menggunakan versi berbahaya bahkan seminggu setelah perbaikan tersedia.
Mengapa hal ini terjadi? Karena hacker lebih mudah menargetkan website yang “terbuka”. Mereka cenderung mencari target yang mudah diidentifikasi daripada membuang waktu untuk website yang informasinya tersembunyi.
Data terbaru menunjukkan fakta mengejutkan: 97% kerentanan WordPress berasal dari plugin, bukan dari WordPress itu sendiri. Namun, ketika versi WordPress Anda terlihat, hacker dapat dengan mudah mengetahui plugin apa saja yang mungkin Anda gunakan dan mencari celah keamanannya.
Intinya sederhana: website yang menyembunyikan informasi versinya seperti rumah dengan pagar tinggi – bukan berarti tidak bisa dibobol, tetapi pencuri akan mencari target yang lebih mudah terlebih dahulu.
Mitos yang Perlu Dibantah
Banyak developer WordPress yang berpikir bahwa “security through obscurity” tidak efektif. Memang benar bahwa menyembunyikan versi bukanlah satu-satunya solusi keamanan, tetapi ini adalah lapisan pertama yang penting dalam strategi “defense in depth”.
Analogi yang tepat adalah seperti tidak menampilkan merek dan model mobil Anda di tempat parkir. Meskipun mobil tetap bisa dicuri, pencuri akan membutuhkan waktu lebih lama untuk mengetahui cara membukanya.
Solusi untuk Menyembunyikan Versi WordPress
Setelah mengetahui seberapa bahayanya menampilkan versi WordPress ke pengunjung website, sekarang kita akan membahas bagaimana solusi untuk meningkatkan keamanan website, khususnya langkah-langkah menghilangkan versi WordPress.
Solusi Permanen
Menggunakan plugin code snippets seperti WP Codebox dapat menjadi solusi terbaik. Tidak seperti kebanyakan plugin sejenis, menggunakan plugin ini memberikan Anda rasa aman. Pasalnya, semua script yang Anda tambahkan secara manual tidak akan disimpan di database, melainkan di folder website Anda.
Selektif
Implementasi yang kami berikan hanya menghapus versi dari inti WordPress. Pendekatan ini tidak akan mengganggu plugin dan tema. Hal ini penting dipertimbangkan karena beberapa plugin mengandalkan parameter versi untuk cache busting dan kompatibilitas.
Verifikasi Lengkap
Setiap langkah disertai metode untuk memastikan implementasi berhasil. Anda akan tahu persis apakah versi WordPress sudah tersembunyi dengan benar atau belum.
Kompatibilitas Universal
Solusi yang kami sajikan ini kompatibel dengan WordPress 5.0 hingga versi terbaru (6.8+) tanpa mengganggu fungsi normal website Anda.
Mengapa Menghapus Versi WordPress Sangat Penting?
Menampilkan versi WordPress secara publik seperti memberikan informasi berharga kepada penyerang. Hacker dapat dengan mudah mengidentifikasi kerentanan spesifik yang ada pada versi WordPress Anda.
Database exploit online seperti CVE (Common Vulnerabilities and Exposures) mencatat setiap kerentanan berdasarkan nomor versi. Ketika versi WordPress terekspos, penyerang dapat langsung mencari dan menggunakan exploit yang sesuai.
Dampak Serangan
Serangan yang ditarget menjadi lebih mudah dilakukan ketika hacker mengetahui versi WordPress yang Anda gunakan. Mereka dapat menyesuaikan payload dan teknik serangan yang spesifik untuk versi tersebut.
Website dengan versi WordPress yang terekspos memiliki risiko 3x lebih tinggi untuk diserang dibandingkan yang tersembunyi. Statistik ini menunjukkan pentingnya menyembunyikan informasi versi dari publik.
Cara Menghapus Meta Tag Generator WordPress
Anda bisa menggunakan beberapa metode atau cara menghapus meta tag generator WordPress. Beberapa di antaranya:
Menggunakan Functions.php
Metode paling sederhana adalah menambahkan kode ke file functions.php tema aktif Anda. Buka file tersebut dan tambahkan kode berikut di bagian bawah:
// Menghapus meta tag generator WordPress
remove_action('wp_head', 'wp_generator');
add_filter('the_generator', '__return_empty_string');Kode ini akan menghapus action wp_generator dan mengembalikan string kosong untuk filter generator. Simpan file dan refresh website untuk melihat hasilnya.
Menggunakan Plugin Code Snippets
WP Code Box menyediakan cara yang lebih aman untuk menambahkan custom code. Buat snippet baru dengan nama “Hapus Versi WordPress” dan copas kode berikut:
add_filter('the_generator', '__return_empty_string');Kemudian, aktifkan snippet dan meta tag generator akan hilang dari source code website. Metode ini lebih aman karena kode tidak akan hilang saat update tema.
Plugin lain yang bisa Anda gunakan misalnya adalah FluentSnippets atau WP Code.
Menghapus Versi dari File CSS dan JavaScript
Ada 2 cara yang bisa Anda terapkan untuk menghapus parameter versi WordPress di file CSS dan file JavaScript. Berikut adalah cara yang paling efektif dan selalu kami terapkan pada semua website klien.
Membuat Fungsi Custom
Untuk menghapus parameter versi dari file assets, Anda perlu membuat fungsi yang lebih kompleks. Fungsi ini akan memfilter URL file sebelum dimuat oleh browser.
function remove_wp_version_from_assets($src) {
if (strpos($src, get_bloginfo('version'))) {
$src = remove_query_arg('ver', $src);
}
return $src;
}Fungsi ini mengecek apakah URL mengandung versi WordPress dan menghapus parameter ver jika ditemukan.
Menerapkan Filter ke Style dan Script
Setelah membuat fungsi, Anda perlu menerapkannya ke filter WordPress yang tepat. Tambahkan kode berikut untuk memfilter file CSS dan JavaScript:
add_filter('style_loader_src', 'remove_wp_version_from_assets', 9999);
add_filter('script_loader_src', 'remove_wp_version_from_assets', 9999);Priority 9999 memastikan filter ini berjalan setelah semua filter lainnya. Hal ini penting untuk memastikan semua file terproses dengan benar.
Membuat Snippet Komprehensif
Berikut adalah kode lengkap yang dapat Anda gunakan dalam satu snippet WP Code Box:
// Menghapus meta tag generator
add_filter('the_generator', '__return_empty_string');
// Fungsi untuk menghapus versi dari assets
function remove_version_from_assets($source) {
$wp_version = get_bloginfo('version');
if (strpos($source, 'ver=' . $wp_version) !== false) {
$source = remove_query_arg('ver', $source);
}
return $source;
}
// Menerapkan filter ke CSS dan JS
add_filter('style_loader_src', 'remove_version_from_assets', 9999);
add_filter('script_loader_src', 'remove_version_from_assets', 9999);Kode di atas dirancang khusus untuk hanya menghapus versi dari file core WordPress. Plugin dan tema tetap mempertahankan nomor versi mereka untuk alasan kompatibilitas.
Menghapus versi dari semua file dapat menyebabkan masalah cache dan update. Plugin sering mengandalkan parameter versi untuk memastikan file terbaru dimuat dengan benar.
Menghapus Versi dari RSS Feed
RSS feed WordPress juga menampilkan informasi generator yang mengandung versi. Tambahkan filter berikut untuk menghapusnya:
add_filter('the_generator', '__return_empty_string');Filter yang sama yang menghapus meta tag juga akan menghapus generator dari RSS feed. Ini memberikan perlindungan menyeluruh untuk semua output WordPress.
Verifikasi Hasil Penghapusan Versi
Setelah menerapkan kode, buka source code halaman website Anda. Tekan Ctrl+U atau klik kanan dan pilih “View Page Source“. Kemudian, cari meta tag generator di bagian <head>...</head> . Jika berhasil, meta tag generator dan versi WordPress pada aset CSS dan JS tidak akan ditemukan.
Mengecek Network Tab
Buka Developer Tools browser (F12) dan navigasi ke tab Network. Refresh halaman dan perhatikan file CSS dan JavaScript yang dimuat.
URL file core WordPress seharusnya tidak lagi memiliki parameter ?ver=x.x.x. File plugin dan tema mungkin masih memiliki parameter versi, dan ini normal.
Menggunakan Online Tools
Beberapa tools online dapat membantu Anda mengecek apakah versi WordPress masih terdeteksi:
WhatCMS.org – Mengidentifikasi CMS dan versinya
BuiltWith.com – Menganalisis teknologi website
Wappalyzer – Extension browser untuk deteksi teknologi
Jika tools ini tidak dapat mendeteksi versi WordPress, berarti metode Anda berhasil.
Metode alternatif adalah menggunakan plugin seperti Sucuri Security yang menyediakan fitur untuk menyembunyikan versi WordPress secara otomatis. Plugin ini juga menawarkan fitur yang dapat memberikan keamanan tambahan yang dibutuhkan.
Setelah menginstal plugin, aktifkan opsi “Hide WordPress Version” di pengaturan. Plugin akan secara otomatis menghapus semua jejak versi WordPress dari website.
Selain itu, Anda juga dapat menggunakan plugin WP Hide & Security Enhancer. Plugin ini khusus dirancang untuk menyembunyikan berbagai elemen WordPress yang dapat mengekspos informasi sensitif.
Beberapa fitur-fiturnya yang sangat membantu meningkatkan keamanan website adalah seperti penghapusan versi, perubahan URL login, dan penyembunyian struktur direktori.
WP Hide & Security Enhancer menawarkan kontrol yang lebih granular dibandingkan plugin keamanan umum. Anda dapat memilih elemen mana yang ingin disembunyikan secara spesifik.
Catatan Akhir
Menghapus versi WordPress dari meta tag dan file assets adalah langkah keamanan penting yang mudah diimplementasikan. Dengan menggunakan kode custom atau plugin, Anda dapat menyembunyikan informasi sensitif ini dari penyerang.
Ingatlah bahwa keamanan WordPress adalah proses berkelanjutan yang memerlukan multiple layers of protection. Kombinasikan penghapusan versi dengan praktik keamanan lainnya untuk perlindungan maksimal.
Implementasikan solusi yang telah dijelaskan dalam artikel ini dan nikmati website WordPress yang lebih aman dan terlindungi dari serangan targeted.
2 comments
Bradly
Terima kasih…
Artikel yang sangat membantu!
Script-nya berfungsi dengan sempurna untuk menyembunyikan versi WordPress dari meta tag dan versi file CSS & JS-nya juga berfungsi sempurna.
Tinggal copas alias copy-paste, kodenya langsung berfungsi tanpa masalah.
Tahap awal keaman website memang sangat berguna trik ini.
Btw, apakah ada cara untuk menyembunyikan versi WordPress dari file readme.html juga?
Rio Mastri
Thanks…
Semoga bermanfaat tutorialnya
Ada beberapa metode untuk menyembunyikannya. File ini tidak dibutuhkan pada website, maka Anda boleh saja menghapusnya secara manual di file manager, atau:
1. Blokir Akses via
.htaccessCopy-paste kode berikut:
Order allow,deny
Deny from all
2. Bikin redirect ke halaman 404
RedirectMatch 404 /readme\.html$3. Menggunakan plugin pengelolaan file manager. Rekomendasi saya adalah DevKit karena mudah dan sekaligus memiliki fungsi untuk mengelola database.
3. Via functions.php
add_action('upgrader_process_complete', function() {$readme = ABSPATH . 'readme.html';
if (file_exists($readme)) {
unlink($readme);
}
});
Cara yang terakhir ini akan secara otomatis menghapus file README.md setelah melakukan update versi WordPress.