Die Verbreitung von WordPress nimmt beständig zu. Besonders auch bei der Erstellung von “ganz normalen” Webseiten wird immer häufiger WordPress eingesetzt. Niemand ist verpflichtet eine mit WordPress erstellte Webseite als solche zu kennzeichnen. Es gibt Leute – besonders Agenturkollegen gehören dazu – die möchten nicht, dass man erkennen kann, dass eine Webseite mit WordPress erstellt wurde.

Dieser Beitrag klärt die Frage wie man eine mit WordPress erstellte Webseite als solche identifizieren kann.

1. Im Quelltext umsehen; existiert dort im Bereich <head> ein Eintrag
   <meta name=”generator” content=”WordPress 3.X.X”/>

   Dieser Eintrag kann natürlich problemlos z.B. über die functions.php des verwendeten Themes entfernt werden. Die Abwesenheit dieses Eintrags besagt also nichts.

2. Existiert eine liesmich.html und/oder readme.html im Stammverzeichnis? Auch diese kann natürlich jederzeit vom Webseitenbetreiber gelöscht werden. Wünscht man keinen Zugriff auf diese beiden Dateien ist es aber sinnvoller – da dies auch das nächste WP-Upgrade überleben wird – den Zugriff per redirect-Eintrag in der .htaccess umzuleiten.
3. Den Namen der Administrationsseite, bzw. des Adminverzeichnisses zu ändern ist nur mit etwas mehr Aufwand möglich. Üblicherweise erhält der Besucher bei Aufruf von /wp-admin die WordPress-Anmeldeseite.

Security by Obscurity?

Es ist denkbar, dass durch Maßnahmen, die verschleiern welche Software eingesetzt wird die Wahrscheinlichkeit gesenkt wird, dass ein veraltetes, unsicheres System zum Ziel eines automatisierten Angriffes wird. Sicher wird ein unsicheres System hierdurch nicht. Unter dem Aspekt der Sicherheit ist es Zeitverschwendung sich mit Maßnahmen zu beschäftigen, die verschleiern welche Software eingesetzt wird. Diese Zeit investiert man besser in Systemaktualisierung und Wartung.