Macht es wirklich einen Unterschied, die WordPress-Version zu verstecken?

Ja, weil automatisierte Angriffs-Scanner Versionsinformationen nutzen, um bekannte Schwachstellen gezielt auszunutzen. Das Verstecken erhöht den Aufwand für Angreifer, ersetzt aber nicht das regelmäßige Aktualisieren.

Kann man die WordPress-Version auch dann noch erkennen, wenn der Meta-Tag entfernt wurde?

Oft ja. Eingebundene CSS- und JavaScript-Dateien tragen häufig einen Versions-Parameter (?ver=X.X.X). Diese Angaben sollten ebenfalls entfernt oder randomisiert werden.

WordPress-Version verstecken: Sicherheit durch Verschleierung

Jede WordPress-Installation gibt von sich aus die verwendete Version preis. Das geschieht im HTML-Quelltext, in HTTP-Headern und in den Dateianhängen von CSS- und JavaScript-Ressourcen. Für Angreifer, die gezielt nach Installationen mit bekannten Sicherheitslücken suchen, sind diese Informationen wertvoll. Dieser Ratgeber zeigt, wie du die Versionsinformationen deiner WordPress-Installation auf ein Minimum reduzierst.

Wo gibt WordPress die Version preis?

Bevor du Maßnahmen ergreifst, solltest du verstehen, an welchen Stellen die Version auftaucht.

Meta-Generator-Tag im HTML-Kopf:

<meta name="generator" content="WordPress 6.5.2" />

Dieser Tag wird von WordPress core automatisch in jede Seite eingefügt.

Versions-Parameter bei Ressourcen: Eingebundene Stylesheets und Scripts tragen häufig einen ver-Parameter:

/wp-includes/css/dist/block-library/style.min.css?ver=6.5.2

RSS-Feed und Atom-Feed: In den XML-Feeds erscheint die Version als Kommentar oder im Generator-Element:

<generator>https://wordpress.org/?v=6.5.2</generator>

Datei readme.html: Diese Datei liegt im WordPress-Stammverzeichnis und nennt die Hauptversion im Klartext. Sie wird von vielen Installationen vergessen und ist ein einfaches Ziel für automatisierte Scanner.

Maßnahme 1: Generator-Tag im HTML entfernen

Füge folgenden Code in die Datei functions.php deines aktiven Themes oder eines Website-spezifischen Plugins ein:

remove_action('wp_head', 'wp_generator');

Diese eine Zeile entfernt den Meta-Generator-Tag vollständig aus allen Seiten.

Maßnahme 2: Versions-Parameter aus Ressourcen entfernen

Der ver-Parameter bei CSS- und JavaScript-Dateien lässt sich mit einem Filter in functions.php unterdrücken:

function entferne_versions_parameter($src) \{
    if (strpos($src, '?ver=')) \{
        $src = remove_query_arg('ver', $src);
    \}
    return $src;
\}
add_filter('style_loader_src', 'entferne_versions_parameter', 9999);
add_filter('script_loader_src', 'entferne_versions_parameter', 9999);

Beachte: Dieser Filter entfernt den Parameter aus allen Ressourcen, nicht nur aus WordPress-core-Dateien. Cache-Probleme nach Updates können dadurch schwerer zu diagnostizieren sein.

Maßnahme 3: Generator-Tag aus RSS-Feeds entfernen

Den Feed-Generator deaktivierst du mit:

add_filter('the_generator', '__return_empty_string');

Maßnahme 4: readme.html und andere Dateien entfernen

Lösche oder schütze folgende Dateien auf dem Server:

readme.html – nennt die WordPress-Hauptversion
license.txt – gibt Hinweise auf die WordPress-Version
wp-config-sample.php – eine Beispiel-Konfigurationsdatei

Das Löschen dieser Dateien hat keine Auswirkungen auf den Betrieb deiner Website. Sie werden von WordPress nicht benötigt.

Maßnahme 5: Zugriff auf wp-login.php einschränken

Das Verstecken der Version ist nur eine von vielen Sicherheitsmaßnahmen. Gleichzeitig solltest du den Zugriff auf die Anmeldeseite einschränken. Füge in der .htaccess-Datei (für Apache-Server) eine IP-Beschränkung hinzu oder nutze ein Plugin, das den Login-Pfad ändert.

Eine Alternative auf Server-Ebene (nginx-Konfiguration):

location = /wp-login.php \{
    allow 203.0.113.0/24;
    deny all;
\}

Maßnahme 6: Sicherheits-Plugin einsetzen

Plugins wie Wordfence, Solid Security (ehemals iThemes Security) oder Shield Security bieten eine gesammelte Oberfläche für viele der beschriebenen Maßnahmen. Sie können den Generator-Tag, Versions-Parameter und Login-Schutz in wenigen Klicks konfigurieren.

Was das Verstecken nicht leistet

Verschleierung ist keine vollständige Sicherheitsstrategie. Wer die Version verbirgt, erhöht zwar den Aufwand für Angreifer, schützt aber nicht vor Angriffen auf andere Schwachstellen. Die wichtigsten Sicherheitsmaßnahmen bleiben:

WordPress, Themes und Plugins stets aktuell halten
Starke Passwörter und Zwei-Faktor-Authentifizierung für alle Admin-Konten
Regelmäßige Backups an einem externen Speicherort
HTTPS mit gültigem Zertifikat

Der Analyzer auf wordpress-analyzer.de zeigt im Rahmen der Website-Analyse, welche Versionsinformationen von außen sichtbar sind. Das ist ein guter Ausgangspunkt, um zu prüfen, ob die oben beschriebenen Maßnahmen gegriffen haben.

Zusammenfassung

WordPress gibt die installierte Version an mehreren Stellen preis: Meta-Tag, Ressourcen-Parameter, Feeds und Dateien im Stammverzeichnis. Mit wenigen Code-Zeilen in functions.php und dem Entfernen überflüssiger Dateien lässt sich die Angriffsfläche deutlich verkleinern. Das Verstecken der Version ist eine sinnvolle Ergänzung zu einer umfassenden Sicherheitsstrategie, aber kein Ersatz für regelmäßige Updates.

WordPress-Version verstecken: Sicherheit durch Verschleierung

Wo gibt WordPress die Version preis?

Maßnahme 1: Generator-Tag im HTML entfernen

Maßnahme 2: Versions-Parameter aus Ressourcen entfernen

Maßnahme 3: Generator-Tag aus RSS-Feeds entfernen

Maßnahme 4: readme.html und andere Dateien entfernen

Maßnahme 5: Zugriff auf wp-login.php einschränken

Maßnahme 6: Sicherheits-Plugin einsetzen

Was das Verstecken nicht leistet

Zusammenfassung

Häufige Fragen

Quellen

Mateusz Viola

Verwandte Artikel

WordPress erkennen: Schritt für Schritt

WordPress-Theme erkennen: Welches Design steckt dahinter?

WordPress-Plugins erkennen: Welche Erweiterungen sind im Einsatz?