Security Blog
Security Blog
Posted By Gregory

WordPress schützen: Plugin-Ordner umbenennen


English version: Get WordPress protected: rename the plugins folder


Dem Plugin-Ordner einen neuen Namen zu geben, ist eine der am meisten unterschätzten Möglichkeiten, Ihren WordPress-Schutz zu stärken. Dabei ist es kostenlos und einfach.

Warum es wichtig ist und wie es funktioniert

Laut unseren Untersuchungen bei Cerber Lab gehen die meisten Hackerangriffe und Versuche, Schwachstellen von Plugins auszunutzen, davon aus, dass sich alle WordPress-Plugins im Standardordner für alle Plugins befinden, der /wp-content/plugins/ lautet. Glücklicherweise kann der Name dieses Ordners in buchstäblich zwei einfachen Schritten ganz einfach in einen beliebigen Namen geändert werden. Bedeutet dies, dass Cyberkriminelle nichts von der Möglichkeit wissen, den Ordner umzubenennen und den Standardspeicherort von Plugins blind anzugreifen? Nein, nicht immer, aber die überwiegende Mehrheit der mit WordPress betriebenen Websites verwendet die Standardordnerstruktur , und deshalb nutzen Cyberkriminelle diese Schwachstelle mit Leichtigkeit aus.

Unsere Analysen zeigen, dass die meisten Websites gehackt werden, indem eine Schwachstelle in einem veralteten Plug-in ausgenutzt wird. In den meisten Fällen hat der Angreifer die Schwachstelle in der PHP-Datei verwendet, die sich im Standard-Plug-in-Ordner von WordPress befindet.

Tipp:Verwenden Sie den Cerber-Malware-Scanner, um eine Schwachstelle in installierten Plugins zu finden .

So benennen Sie den WordPress-Plugin-Ordner um

Zunächst müssen Sie über Ihr Hosting-Kontrollfeld, das normalerweise über einen Dateimanager verfügt, Zugriff auf die Dateien auf Ihrer Website haben. Alternativ können Sie einen FTP-Client verwenden.

Der erste Schritt besteht darin, den vorhandenen WordPress-Plugin-Ordner in einen beliebigen Namen umzubenennen. Nehmen wir an, wir verwenden den Modulnamen . Beachten Sie, dass der Name des Plugin-Ordners nur ASCII-Zeichen enthalten darf. Geben Sie einfach „nur lateinische Buchstaben verwenden“ ein.

Der zweite Schritt besteht darin, der Datei wp-config.php zwei Definitionsanweisungen hinzuzufügen, die WordPress dabei helfen, den neuen Namen des Plugin-Ordners zu erkennen und zu verwenden. Sie können in diesem Schritt keinen integrierten Dateieditor im WordPress-Admin-Dashboard verwenden. Verwenden Sie einen Dateieditor aus Ihrem Hosting-Kontrollbereich oder einen FTP-Client, um die Datei wp-config.php zu bearbeiten. Sehen Sie sich unten ein Beispiel an und beachten Sie:

  • Sie müssen am Anfang der Datei in der nächsten Zeile nach <?php Anweisungen hinzufügen.
  • Sie müssen für WP_PLUGIN_DIR Ihren vollständigen Pfad zu Ihrem Plugin-Verzeichnis verwenden. Hinweis: Den vollständigen Pfad zum Standard-Plugin-Ordner finden Sie auf der Admin-Seite Tools / Diagnose. Er wird im Abschnitt Dateisystem in der Zeile „WordPress-Plugin-Ordner“ angezeigt.
  • Keine abschließenden Schrägstriche.

 <?php

define('WP_PLUGIN_DIR', '/vollständiger/Pfad/zu/wp-content/modules');
definieren('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

Die Konstante WP_PLUGIN_DIR definiert den vollständigen Pfad ohne abschließenden Schrägstrich zu Ihrem umbenannten Plugin-Ordner.

Die Konstante WP_PLUGIN_URL definiert die URL Ihres umbenannten Plugin-Ordners ohne abschließenden Schrägstrich.

Sobald Sie diese beiden Schritte abgeschlossen haben, fügen Sie Ihrem WordPress eine zusätzliche Sicherheitsebene hinzu. Ein weiterer Sicherheitsmechanismus, den Sie in Betracht ziehen sollten, ist die Aktivierung geplanter Malware-Scans .

Mögliche Probleme und Fehlerbehebung

Die Website wird nicht geladen und zeigt Fehler an. Das bedeutet normalerweise, dass Sie einen Tippfehler im Ordnernamen gemacht haben. Überprüfen Sie sorgfältig die Definitionen, die Sie zu wp-config.php hinzugefügt haben, den vollständigen Pfad und die URL, die Sie angegeben haben. Sie müssen den Pfad und die URL Ihrer Website angeben. Kopieren Sie sie nicht aus dem obigen Beispiel und versuchen Sie nicht, den Plugin-Ordner umzubenennen oder die Datei wp-config.php im WordPress-Dashboard zu bearbeiten.

Einige Funktionen funktionieren nicht mehr. Auf Ihrer Website ist zufällig ein schlecht entwickeltes oder veraltetes Plugin installiert. Das Beste, was Sie tun können, ist, es loszuwerden. Es gibt keine Entschuldigungen für schlechte Plugin-Entwicklung. Ein Plugin-Entwickler muss die WordPress-Codierungsstandards einhalten.

So stellen Sie den Standardnamen des Plugin-Ordners wieder her

  1. Entfernen Sie alle Zeilen mit den Anweisungen WP_PLUGIN_DIR und WP_PLUGIN_URL aus der Datei wp-config.php
  2. Der Standardname des Ordners, in dem sich WordPress-Plugins befinden, ist „ plugins“. Benennen Sie den Plugin-Ordner also wieder in „plugins“ um.

Nächste Schritte zur Stärkung Ihrer WordPress-Sicherheit


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments