Security Blog
Security Blog
Posted By Gregory

Holen Sie sich WordPress-Schutz: Benennen Sie den Plugins-Ordner um


English version: Get WordPress protected: rename the plugins folder


Dem Plugin-Ordner einen neuen Namen zu geben, ist eine der am meisten unterschätzten Möglichkeiten, Ihren WordPress-Schutz zu stärken. Und doch ist es kostenlos und einfach.

Warum es wichtig ist und wie es funktioniert

Gemäß unseren Studien bei Cerber Lab gehen die meisten Hackerangriffe und Versuche, Plugin-Schwachstellen auszunutzen davon aus, dass sich alle WordPress-Plugins im Standardordner für alle Plugins befinden, der /wp-content/plugins/ ist. Glücklicherweise kann der Name dieses Ordners in buchstäblich zwei einfachen Schritten in einen beliebigen Namen geändert werden. Bedeutet dies, dass Cyberkriminelle kein Wissen über die Möglichkeit haben, den Ordner umzubenennen und den Standardspeicherort des Plugins blind anzugreifen? Nein, nicht immer, aber die überwiegende Mehrheit der WordPress-basierten Websites verwendet die Standardordnerstruktur , und deshalb nutzen Cyberkriminelle diese Schwachstelle mit Leichtigkeit aus.

Unsere Analysen zeigen, dass die meisten Websites gehackt werden, indem eine Schwachstelle in einem veralteten Plugin ausgenutzt wird, und in den meisten Fällen hat der Angreifer die Schwachstelle in der PHP-Datei ausgenutzt, die sich im standardmäßigen WordPress-Plugin-Ordner befindet.

Tipp:Verwenden Sie den Cerber-Malware-Scanner, um eine Schwachstelle in installierten Plugins zu finden .

So benennen Sie den WordPress-Plugins-Ordner um

Zunächst müssen Sie über Ihr Hosting-Kontrollfeld, das normalerweise über einen Dateimanager verfügt, Zugriff auf die Dateien auf Ihrer Website haben. Alternativ können Sie einen FTP-Client verwenden.

Der erste Schritt besteht darin, den vorhandenen WordPress-Plugins-Ordner in einen beliebigen Namen umzubenennen. Nehmen wir an, wir verwenden den Modulnamen . Beachten Sie, dass der Name des Plugins-Ordners nur ASCII-Zeichen enthalten darf. Einfach ausgedrückt "nur Buchstaben des lateinischen Alphabets verwenden".

Der zweite Schritt ist das Hinzufügen von zwei define-Direktiven zur Datei wp-config.php , die WordPress helfen, den neuen Namen des Plugin-Ordners zu erkennen und zu verwenden. Sie dürfen in diesem Schritt keinen integrierten Dateieditor im WordPress-Admin-Dashboard verwenden. Verwenden Sie einen Dateieditor in Ihrem Hosting-Kontrollfeld oder einen FTP-Client, um die Datei wp-config.php zu bearbeiten. Sehen Sie sich ein Beispiel unten an und beachten Sie:

  • Sie müssen Direktiven am Anfang der Datei in der nächsten Zeile nach <?php hinzufügen.
  • Sie müssen Ihren vollständigen Pfad zu Ihrem Plugin-Verzeichnis für WP_PLUGIN_DIR verwenden. Hinweis: Den vollständigen Pfad zum Standard-Plugins-Ordner finden Sie auf der Verwaltungsseite Tools / Diagnose. Es wird im Dateisystem-Abschnitt in der Zeile „WordPress-Plugins-Ordner“ angezeigt.
  • Keine abschließenden Schrägstriche.

 <?php

define('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

Die Konstante WP_PLUGIN_DIR definiert den vollständigen Pfad ohne abschließenden Schrägstrich zu Ihrem umbenannten Plugin-Ordner.

Die Konstante WP_PLUGIN_URL definiert die URL ohne abschließenden Schrägstrich Ihres umbenannten Plugins-Ordners.

Sobald Sie diese beiden Schritte abgeschlossen haben, fügen Sie Ihrem WordPress eine zusätzliche Sicherheitsebene hinzu. Ein weiterer Sicherheitsmechanismus, den Sie in Betracht ziehen sollten, ist das Aktivieren geplanter Malware-Scans .

Mögliche Probleme und Fehlerbehebung

Die Website lädt nicht und zeigt Fehler an. Dies bedeutet normalerweise, dass Sie sich im Ordnernamen vertippt haben. Überprüfe sorgfältig die Definitionen, die du zu wp-config.php hinzugefügt hast, den vollständigen Pfad und die URL, die du angegeben hast. Sie müssen den Pfad und die URL Ihrer Website angeben. Kopieren Sie sie nicht aus dem obigen Beispiel und versuchen Sie nicht, den Plugin-Ordner umzubenennen oder die Datei wp-config.php im WordPress-Dashboard zu bearbeiten.

Einige Funktionen funktionieren nicht mehr. Sie haben zufällig ein schlecht gestaltetes oder veraltetes Plugin auf der Website installiert. Das Beste, was Sie tun können, ist, es loszuwerden. Es gibt keine Ausreden für schlechte Plugin-Entwicklung. Ein Plugin-Entwickler muss die Codierungsstandards von WordPress einhalten.

So stellen Sie den Standardnamen des Plug-in-Ordners wieder her

  1. Entferne alle Zeilen mit den Direktiven WP_PLUGIN_DIR und WP_PLUGIN_URL aus der Datei wp-config.php
  2. Der Standardname des Ordners, in dem sich WordPress-Plugins befinden, ist Plugins , also benennen Sie den Plugin-Ordner wieder in Plugins um

Nächste Schritte, die Ihre WordPress-Sicherheit stärken


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments