WordPress版本号隐藏方法

1. 咱们先唠唠为啥有人想藏WordPress版本号。简单说就是怕黑客知道你现在用的版本太老，直接照着漏洞库往里捅刀子。但其实啊，藏版本号更像是个心理安慰——真高手扒你代码看函数库照样能猜个大概，不过能防一波算一波呗。

2. 最省事的招儿是在主题文件里动手脚。打开你正在用的主题文件夹，找到 functions.php 文件，往里头塞这段代码：

// 移除版本号标签
remove_action('wp_head', 'wp_generator');
// 屏蔽RSSfeed里的版本
function remove_version_from_rss() {
    return '';
}
add_filter('the_generator', 'remove_version_from_rss');

3. 别小看这两行，它能把前台页面HTML源码里那个 <meta name="generator" content="WordPress 6.4.3"> 标签给扬了，连RSS输出里的版本号也一并消失。

4. 还有些插件喜欢自带版本号参数，比如 style.css?ver=6.4.3 这种。要是看着碍眼，可以用过滤器把参数抹掉：

// 移除静态资源版本号
function remove_script_version($src) {
    return $src ? esc_url(remove_query_arg('ver', $src)) : false;
}
add_filter('script_loader_src', 'remove_script_version');
add_filter('style_loader_src', 'remove_script_version');

5. 注意啊，这么干可能会让浏览器缓存失效，毕竟没了版本号参数就得靠手动刷新缓存。要是网站用了CDN，建议在CDN那边设置强制缓存策略更稳妥。

6. 进阶玩法是改版本号输出逻辑。比如把真实版本号替换成乱码或者固定值：

// 伪造版本号
function fake_wp_version() {
    return '4.2.0'; // 故意返回旧版本
}
add_filter('the_generator', 'fake_wp_version');
add_filter('wp_footer', function(){ 
    echo '<!-- 用爱发电 -->'; 
}); 

7. 说到这你可能会发现，虽然页面源码干净了，但通过 wp-json/wp/v2 这类REST API还是能查到版本信息。这时候得再加个过滤器：

// 屏蔽REST API响应头版本
remove_action('xmlrpc_rsd_apis', 'rest_output_rsd');
remove_action('wp_head', 'rest_output_link_wp_head');

8. 最后提醒个坑：有些安全插件自带隐藏版本号功能，比如 All In One WP Security 里头直接有个选项能勾选。要是用了这类插件就别手动改代码了，容易冲突。

9. 其实吧，藏版本号不如及时更新系统。就像你把家门钥匙藏地毯底下，还不如直接换把超B级锁芯。WordPress核心团队一发布漏洞补丁，黑客圈里立马就传开了，藏版本号顶多算是个障眼法。

10. 要是真追求极致安全，建议组合拳出击：改默认登录地址、限制登录尝试次数、关闭XML-RPC接口，再配上定期更新——这套连招比单纯藏版本号管用多了。

（完）

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。