Security Blog
Security Blog
Posted By Gregory

Erhalten Sie WordPress geschützt: Benennen Sie den Plugin-Ordner


English version: Get WordPress protected: rename the plugins folder


Wenn Sie dem Plug-in-Ordner einen neuen Namen geben, ist dies eine der am meisten unterschätzten Möglichkeiten, Ihren WordPress-Schutz zu verstärken. Und doch ist es kostenlos und einfach.

Warum es wichtig ist und wie es funktioniert

Laut unseren Studien bei Cerber Lab gehen die meisten Hacker-Angriffe und Versuche, Plugin-Schwachstellen auszunutzen, davon aus, dass sich alle WordPress-Plugins im Standardordner aller Plugins befinden, nämlich / wp-content / plugins / . Glücklicherweise kann der Name des Ordners in buchstäblich zwei einfachen Schritten beliebig geändert werden. Bedeutet das, dass Cyberkriminelle kein Wissen über die Möglichkeit haben, den Ordner umzubenennen und den Standardspeicherort des Plugins blind anzugreifen? Nein, nicht immer, aber die überwiegende Mehrheit der von WordPress betriebenen Websites verwendet die Standardordnerstruktur. Aus diesem Grund nutzen Cyberkriminelle diese Schwäche mit Leichtigkeit.

Unsere Analysen zeigen, dass die meisten Websites gehackt werden, indem eine Sicherheitsanfälligkeit in einem veralteten Plugin ausgenutzt wird. In den meisten Fällen hat der Angreifer die Sicherheitsanfälligkeit in der PHP-Datei aus dem Standardordner für WordPress-Plugins verwendet.

Hinweis: Verwenden Sie den Cerber-Malware-Scanner, um eine Schwachstelle in installierten Plugins zu finden .

So benennen Sie den Ordner für WordPress-Plugins um

Zunächst müssen Sie über Ihr Hosting-Kontrollfeld, das normalerweise über einen Dateimanager verfügt, Zugriff auf die Dateien auf Ihrer Website haben. Alternativ können Sie einen FTP-Client verwenden.

Der erste Schritt besteht darin, den Plugins-Ordner in einen beliebigen Namen umzubenennen. Nehmen wir an, wir verwenden den Modulnamen . Der Name des Ordners darf nur ASCII-Zeichen enthalten. Setzen Sie einfach "nur lateinische Buchstaben verwenden".

Der zweite Schritt besteht darin, der Datei wp-config.php zwei Definitionsanweisungen hinzuzufügen , die WordPress mitteilen, dass wir einen neuen Namen für den Plugins-Ordner verwenden. Siehe das Beispiel unten und beachten Sie:

  • Sie müssen Direktiven am Anfang der Datei in der nächsten Zeile nach <? Php hinzufügen.
  • Keine nachgestellten Schrägstriche

 <? php 

define ('WP_PLUGIN_DIR', '/ full / path / zu / wp-content / modules');
define ('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

Die WP_PLUGIN_DIR- Konstante definiert den vollständigen Pfad ohne nachgestellten Schrägstrich in den umbenannten Plugins-Ordner.

Die WP_PLUGIN_URL- Konstante definiert die URL ohne nachstehenden Schrägstrich des umbenannten Plugins-Ordners.

Wenn Sie diese beiden Schritte ausgeführt haben, fügen Sie Ihrem WordPress eine weitere Sicherheitsbarriere hinzu. Ein weiterer Sicherheitsmechanismus, den Sie in Betracht ziehen sollten, ist das Aktivieren geplanter Malware-Prüfungen .

Mögliche Probleme und Fehlerbehebung

Die Website wird nicht geladen. In der Regel bedeutet dies, dass Sie im Ordnernamen einen Tippfehler gemacht haben. Überprüfen Sie sorgfältig die Definitionen, die Sie in wp-config.php hinzugefügt haben, den vollständigen Pfad und die von Ihnen angegebene URL.

Einige Funktionen funktionieren nicht mehr. Sie haben zufällig ein schlecht entwickeltes oder veraltetes Plugin auf der Website installiert. Das Beste, was Sie tun können, ist, es loszuwerden. Es gibt keine Ausreden für die Entwicklung eines schlechten Plugins. Ein Plugin-Entwickler muss die Codierungsstandards von WordPress einhalten.

So stellen Sie den Standardordnernamen wieder her Entfernen Sie alle Zeilen mit den Anweisungen WP_PLUGIN_DIR und WP_PLUGIN_URL aus der Datei wp-config.php und benennen Sie den Plugin-Ordner wieder in Plugins um .

Nächste Schritte, die Ihre WordPress-Sicherheit verbessern

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim
Cancel Reply