WordPress Sürümü Nasıl Gizlenir? Versiyon Bilgisi Gizleme Yöntemleri

Eğer bir WordPress sitesi yönetiyorsan, güvenlik her zaman öncelik olmalı. WordPress sürüm bilgisini gizlemek, sitenizi hacker’lara karşı korumak için iyi bir güvenlik önlemi olabilir (özellikle güncel sürüm kullanmayanlar için). Bu rehberde, WordPress versiyon numarasını kaldırma işlemini detaylıca ele alacağız.

WordPress Sürüm Bilgisini Neden Gizlemeliyiz?

WordPress sürüm bilgisi, sitenin kaynak kodunda (örneğin meta generator etiketinde) veya RSS beslemelerinde açıkça görünebiliyor. Hacker’lar bu bilgiyi kullanarak eski sürümlerdeki bilinen güvenlik açıklarını sömürebiliyor.

Güvenlik uzmanlarının raporlarına göre, WordPress sitelerinin %50’sinden fazlası güncel olmayan sürümler nedeniyle risk altında. Eğer web siteniz sık güncellenmiyorsa veya paylaşımlı hosting kullanıyorsanız, sürüm numarasını gizlemeniz özellikle önemli. Ancak unutmayın, sürüm gizlemek tam güvenlik yerine geçmez. Güncelleme, yedek ve güvenlik duvarı (WAF) gibi WordPress güvenlik önlemleri her zaman öncelikli olmalıdır.

Peki, WordPress sürümünüzü nasıl öğrenirsiniz?

• Yönetim Paneli Üzerinden: WordPress yönetici paneline giriş yapın. Sol menüde “Başlangıç” sayfasına gidin. Üst kısımda “WordPress [Sürüm Numarası]” gibi bir bilgi göreceksiniz. Eğer güncellemeler varsa, buradan bildiriliyor.
• Kaynak Kodu İnceleme: Web sitenize gidin ve herhangi bir alana sağ tıklayıp “Sayfa Kaynağını Görüntüle”seçeneğine tıklayın. Ctrl+F ile “generator” ifadesini arayın. <meta name=”generator” content=”WordPress 6.6.1″ /> gibi bir satırda sürüm numarasını göreceksiniz.
• Dosya Yoluyla: FTP veya hosting panelinden wp-includes/version.php dosyasını açın. İçinde $wp_version = ‘6.6.1’; gibi bir satır bulunur.
• Online Araçlar: WPScan veya WordPress Version Check gibi araçlar kullanabilirsiniz.

WordPress Sürüm Gizleme Yöntemleri

Versiyon numarasını kaldırmak için iki ana yaklaşım var: Eklentisiz (manuel) ve eklentiyle. Manuel yöntemler daha hafif ve performans dostu, eklentiler ise pratiktir.

1. Eklentisiz Yöntemler: Kodla Sürüm Saklama

📌 Tema dosyalarında değişiklik yaparken child theme kullanmanızı öneririz. Bu sayede ana tema güncellendiğinde ayarlarınız silinmez. Bununla birlikte, herhangi bir değişiklik yapmadan önce mutlaka sitenizi yedekleyin.

# Functions.php ile WP Sürüm Gizleme

• cPanel veya herhangi bir FTP ile sitenizin kök dizinize gidin (public_html veya www) ve wp-content/themes/[tema-adı]/functions.php dosyasını açın.
• Dosyanın sonuna aşağıdaki kodu ekleyin:

function remove_wp_version() {
    return '';
}
add_filter('the_generator', 'remove_wp_version');

• Bu kod wp_head tarafından üretilen generator etiketini kaldırır. CSS ve JS dosyalarındaki “?ver=6.6.1” gibi sorguları da kaldırmanız faydalı olur. Bunun için de şu ek kodu ekleyin:

function remove_cssjs_ver($src) {
    if (strpos($src, '?ver=')) {
        $src = remove_query_arg('ver', $src);
    }
    return $src;
}
add_filter('style_loader_src', 'remove_cssjs_ver', 10, 2);
add_filter('script_loader_src', 'remove_cssjs_ver', 10, 2);

# .htaccess ile Dosya Erişimini Engelleme

• Sürüm bilgisi, readme.html veya license.txt gibi dosyalarda da bulunur. Bunları gizlemek için: Kök dizindeki .htaccess dosyasını açın ve dosyanın sonuna şu satırları ekle:

<FilesMatch "^(readme\.html|license\.txt)$">
  Require all denied
</FilesMatch>

• 📌 .htaccess Apache sunucularda çalışır. Nginx kullanıyorsanız, server config’inizi düzenlemeniz gerekebilir.

# Nginx: server_tokens off;

Nginx kullanıyorsanız nginx.conf içine server_tokens off; ekleyerek Nginx’in sürüm bilgisini hata mesajlarında ve Server başlığında göstermesini azaltabilirsiniz. Tamamen kaldırmak ek modül veya proxy yapılandırması gerektirebilir.

http {
    server_tokens off;
    ...
}

# X-Powered-By (PHP) Başlığını Kapatma

• expose_php = Off ayarı PHP’nin X-Powered-By başlığını gönderip göndermeyeceğini kontrol eder. php.ini, hosting kontrol paneli veya .user.ini üzerinden kapatabilirsiniz:

; php.ini içinde
expose_php = Off

• Bu değişiklik sunucuda HTTP başlığında PHP sürümünü göstermeyi engeller.

2. Eklenti Kullanarak Versiyon Kaldırma

Eğer kodla uğraşmak istemiyorsanız güvenlik eklentilerinden faydalanabilirsiniz. İşte popüler seçenekler:

• Hide My WP Ghost: Kapsamlı güvenlik eklentisi. Sürüm gizlemenin yanı sıra URL’leri değiştirir. Ücretsiz sürüm yeterli.
• Sucuri Security: Ücretsiz tarama ve gizleme özellikleri var. Ayarlarında “Remove WordPress Version” seçeneğini etkinleştirebilirsiniz.
• All In One WP Security & Firewall: Kolay arayüzle sürüm kaldırma dahil birçok güvenlik ayarı.

3. Cloudflare ile WordPress Sürüm Numarasını Gizleme

Cloudflare, hem site performansını artıran hem de güvenliği güçlendiren bir CDN (İçerik Dağıtım Ağı) ve güvenlik hizmetidir. WordPress sürüm numarasını gizlemek için Cloudflare’ın Web Uygulama Güvenlik Duvarı (WAF) ve sayfa kurallarını kullanarak etkili bir koruma sağlayabilirsiniz. Bu yöntem, özellikle kodla uğraşmak istemeyen veya ek bir güvenlik katmanı arayan kullanıcılar için idealdir.

# WAF (Web Uygulama Güvenlik Duvarı) Kuralı Oluşturun

• Cloudflare’ın resmi sitesine gidin ve hesabınıza giriş yapın. Sitenizi seçin (Cloudflare’a eklediğiniz domain).
• Cloudflare panelinde sol menüden Security > WAF seçeneğine tıklayın. “Create rule” (Kural Oluştur) butonuna basın.
  • Kural adı: Örneğin, “WordPress Version Hide”.
  • Field (Alan): “URI Path” seçin.
  • Operator: “contains” (içerir) seçin.
  • Value (Değer): ?ver= yazın. Bu, CSS ve JS dosyalarındaki sürüm sorgularını hedefler.
  • Action (Eylem): “Block” (Engelle) seçin. Alternatif olarak, “Managed Challenge” ile şüpheli istekleri doğrulayabilirsiniz.
  • Ek kural: Başka bir kural oluşturun ve “URI Path” için readme.html, license.txt veya wp-includes/version.php gibi dosyalara erişimi engelleyin. Eylem olarak yine “Block” seçin.
• “Deploy” (Dağıt) butonuna tıklayın. Kural anında aktif olur.
• Pro plan kullanıyorsanız, özel regex (düzenli ifadeler) ile daha karmaşık kurallar yazabilirsiniz. Örneğin, generator meta etiketini hedeflemek için HTML yanıtını düzenleyen bir kural oluşturabilirsiniz.

# Sayfa Kuralları ile Generator Etiketini Kaldırma

Cloudflare’ın Sayfa Kuralları, belirli URL’lerde içeriği değiştirmenizi sağlar. Generator meta etiketini kaldırmak için:

1. Sayfa Kurallarına Gidin:
   • Cloudflare panelinde Rules > Page Rules seçeneğine tıklayın.
   • “Create Page Rule” (Sayfa Kuralı Oluştur) butonuna basın.
2. Kuralı Tanımlayın:
   • URL Pattern: https://siteadiniz.com/* (sitenizin tamamını kapsar).
   • Setting (Ayar): “Transform Rule” seçeneğini aktifleştirin (Business veya Enterprise planlarda mevcut).
   • HTML Transformer: <meta name=”generator” content=”WordPress*> gibi ifadeleri yakalamak için bir regex kuralı yazın ve içeriği boşaltın.
3. Kuralı kaydedin ve sitenizin kaynak kodunu kontrol edin (Ctrl+U). Generator etiketi artık görünmemeli.
4. 📌 Ücretsiz planda HTML Transformer özelliği yoktur. Bu durumda, functions.php ile manuel gizleme yapmanız gerekebilir (örneğin, add_filter('the_generator', '__return_empty_string'); koduyla).