WordPress schützen: Plugin-Ordner umbenennen
English version: Get WordPress protected: rename the plugins folder
Den Plugin-Ordner umzubenennen ist eine der am meisten unterschätzten Möglichkeiten, den WordPress-Schutz zu stärken. Dabei ist es kostenlos und einfach.
Warum es wichtig ist und wie es funktioniert
Laut unseren Studien bei Cerber Lab gehen die meisten Hackerangriffe und Versuche, Plugin-Schwachstellen auszunutzen, davon aus, dass sich alle WordPress-Plugins im Standardordner für alle Plugins befinden: /wp-content/plugins/ . Glücklicherweise lässt sich der Name dieses Ordners in nur zwei einfachen Schritten beliebig ändern. Bedeutet das, dass Cyberkriminelle nichts von der Möglichkeit wissen, den Ordner umzubenennen und den Standard-Plugin-Speicherort blind anzugreifen? Nein, nicht immer, aber die überwiegende Mehrheit der WordPress-Websites verwendet die Standardordnerstruktur , weshalb Cyberkriminelle diese Schwachstelle leicht ausnutzen können.
Unsere Analysen zeigen, dass die meisten Websites gehackt werden, indem eine Schwachstelle in einem veralteten Plugin ausgenutzt wird. In den meisten Fällen hat der Angreifer die Schwachstelle in der PHP-Datei verwendet, die sich im Standard-Plugin-Ordner von WordPress befindet.
Tipp:Verwenden Sie den Cerber-Malware-Scanner, um eine Schwachstelle in installierten Plugins zu finden .
So benennen Sie den WordPress-Plugin-Ordner um
Zunächst benötigen Sie über Ihr Hosting-Kontrollfeld, das in der Regel über einen Dateimanager verfügt, Zugriff auf die Dateien Ihrer Website. Alternativ können Sie einen FTP-Client verwenden.
Der erste Schritt besteht darin, den bestehenden WordPress-Plugin-Ordner in einen beliebigen Namen umzubenennen. Nehmen wir an, wir verwenden den Modulnamen . Beachten Sie, dass der Name des Plugin-Ordners ausschließlich ASCII-Zeichen enthalten darf. Einfach ausgedrückt: „Nur lateinische Buchstaben verwenden.“
Im zweiten Schritt fügen Sie der Datei wp-config.php zwei Define-Direktiven hinzu, die WordPress helfen, den neuen Namen des Plugin-Ordners zu erkennen und zu verwenden. Sie können in diesem Schritt keinen integrierten Dateieditor im WordPress-Admin-Dashboard verwenden. Verwenden Sie stattdessen einen Dateieditor in Ihrem Hosting-Kontrollbereich oder einen FTP-Client, um die Datei wp-config.php zu bearbeiten. Siehe unten ein Beispiel und beachten Sie:
- Sie müssen am Anfang der Datei in der nächsten Zeile nach <?php Anweisungen hinzufügen.
- Für WP_PLUGIN_DIR müssen Sie den vollständigen Pfad zu Ihrem Plugin-Verzeichnis verwenden. Hinweis: Den vollständigen Pfad zum Standard-Plugin-Ordner finden Sie auf der Admin-Seite „Tools / Diagnose“. Er wird im Abschnitt „Dateisystem“ in der Zeile „WordPress-Plugin-Ordner“ angezeigt.
- Keine abschließenden Schrägstriche.
<?php
define('WP_PLUGIN_DIR', '/vollständiger/Pfad/zu/wp-content/modules');
definieren('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
Die Konstante WP_PLUGIN_DIR definiert den vollständigen Pfad ohne abschließenden Schrägstrich zu Ihrem umbenannten Plugin-Ordner.
Die Konstante WP_PLUGIN_URL definiert die URL Ihres umbenannten Plugin-Ordners ohne abschließenden Schrägstrich.
Sobald Sie diese beiden Schritte abgeschlossen haben, fügen Sie Ihrem WordPress eine zusätzliche Sicherheitsebene hinzu. Ein weiterer Sicherheitsmechanismus, den Sie in Betracht ziehen sollten, ist die Aktivierung geplanter Malware-Scans .
Mögliche Probleme und Fehlerbehebung
Die Website lädt nicht und zeigt Fehler an. Das deutet meist auf einen Tippfehler im Ordnernamen hin. Überprüfen Sie sorgfältig die Definitionen, die Sie in wp-config.php eingegeben haben, den vollständigen Pfad und die angegebene URL. Sie müssen den Pfad und die URL Ihrer Website angeben. Kopieren Sie diese nicht aus dem obigen Beispiel und versuchen Sie nicht, den Plugin-Ordner umzubenennen oder die Datei wp-config.php im WordPress-Dashboard zu bearbeiten.
Einige Funktionen funktionieren nicht mehr. Sie haben ein schlecht designtes oder veraltetes Plugin auf Ihrer Website installiert. Am besten entfernen Sie es. Es gibt keine Entschuldigungen für schlechte Plugin-Entwicklung. Plugin-Entwickler müssen die WordPress-Programmierstandards einhalten.
So stellen Sie den Standardnamen des Plugin-Ordners wieder her
- Entfernen Sie alle Zeilen mit den Anweisungen WP_PLUGIN_DIR und WP_PLUGIN_URL aus der Datei wp-config.php
- Der Standardname des Ordners, in dem sich WordPress-Plugins befinden, lautet „plugins“. Benennen Sie den Plugin-Ordner also wieder in „plugins“ um.
Nächste Schritte zur Stärkung Ihrer WordPress-Sicherheit
WordPress 5.4.1. Ein Sicherheitsupdate behebt sieben XSS-Schwachstellen
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.