WordPress schützen: Benennen Sie den Plugin-Ordner um.
English version: Get WordPress protected: rename the plugins folder
Das Umbenennen des Plugin-Ordners ist eine der am meisten unterschätzten Methoden, um den Schutz Ihrer WordPress-Installation zu verbessern. Und dabei ist es kostenlos und einfach.
Warum es wichtig ist und wie es funktioniert
Unseren Untersuchungen bei Cerber Lab zufolge gehen die meisten Hackerangriffe und Versuche, Plugin-Schwachstellen auszunutzen, davon aus, dass sich alle WordPress-Plugins im Standardverzeichnis `/wp-content/plugins/` befinden. Glücklicherweise lässt sich der Name dieses Verzeichnisses in nur zwei einfachen Schritten beliebig ändern. Bedeutet das, dass Cyberkriminelle keine Kenntnis von der Möglichkeit haben, das Verzeichnis umzubenennen und blindlings den Standard-Plugin-Speicherort anzugreifen? Nein, nicht immer. Die überwiegende Mehrheit der WordPress-Websites verwendet jedoch die Standard-Ordnerstruktur , weshalb Cyberkriminelle diese Schwachstelle so leicht ausnutzen können.
Unsere Analysen zeigen, dass die meisten Websites durch Ausnutzung einer Sicherheitslücke in einem veralteten Plugin gehackt werden. In den meisten Fällen nutzt der Angreifer die Sicherheitslücke in der PHP-Datei, die sich im Standard-Plugin-Ordner von WordPress befindet.
Hinweis:Verwenden Sie den Cerber-Malware-Scanner, um eine Schwachstelle in installierten Plugins zu finden .
So benennen Sie den WordPress-Plugin-Ordner um
Zunächst benötigen Sie Zugriff auf die Dateien Ihrer Website über Ihr Hosting-Kontrollpanel, das üblicherweise einen Dateimanager enthält. Alternativ können Sie einen FTP-Client verwenden.
Im ersten Schritt benennen Sie den bestehenden WordPress-Plugin-Ordner um. Nehmen wir an, wir verwenden den Namen „modules “. Beachten Sie, dass der Name des Plugin-Ordners ausschließlich ASCII-Zeichen enthalten darf. Verwenden Sie also nur Buchstaben des lateinischen Alphabets.
Im zweiten Schritt fügen Sie zwei `define`-Anweisungen zur Datei `wp-config.php` hinzu, damit WordPress den neuen Namen des Plugin-Ordners erkennt und verwendet. Verwenden Sie hierfür nicht den integrierten Dateieditor im WordPress-Adminbereich. Bearbeiten Sie die Datei `wp-config.php` stattdessen mit einem Dateieditor Ihres Hosting-Control-Panels oder einem FTP-Client. Ein Beispiel finden Sie unten.
- Sie müssen die Direktiven am Anfang der Datei in der Zeile nach <?php hinzufügen.
- Sie müssen für WP_PLUGIN_DIR den vollständigen Pfad zu Ihrem Plugin-Verzeichnis angeben. Tipp: Den vollständigen Pfad zum Standard-Plugin-Ordner finden Sie auf der Administrationsseite „Tools / Diagnose“. Er wird im Abschnitt „Dateisystem“ in der Zeile „WordPress-Plugin-Ordner“ angezeigt.
- Keine nachfolgenden Schrägstriche.
<?php
define('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
Die Konstante WP_PLUGIN_DIR definiert den vollständigen Pfad ohne abschließenden Schrägstrich zu Ihrem umbenannten Plugin-Ordner.
Die Konstante WP_PLUGIN_URL definiert die URL Ihres umbenannten Plugin-Ordners ohne abschließenden Schrägstrich.
Sobald Sie diese beiden Schritte abgeschlossen haben, fügen Sie Ihrer WordPress-Installation eine zusätzliche Sicherheitsebene hinzu. Ein weiterer Sicherheitsmechanismus, den Sie in Betracht ziehen sollten, ist die Aktivierung geplanter Malware-Scans .
Mögliche Probleme und Fehlerbehebung
Die Website lädt nicht und zeigt Fehlermeldungen an. Das bedeutet in der Regel, dass Sie sich beim Ordnernamen vertippt haben. Überprüfen Sie sorgfältig die Definitionen in der wp-config.php-Datei, den vollständigen Pfad und die angegebene URL. Sie müssen den Pfad und die URL Ihrer Website angeben. Kopieren Sie diese nicht aus dem obigen Beispiel und versuchen Sie nicht, den Plugin-Ordner umzubenennen oder die wp-config.php-Datei im WordPress-Dashboard zu bearbeiten.
Einige Funktionen funktionieren nicht mehr. Wahrscheinlich ist ein schlecht designtes oder veraltetes Plugin auf Ihrer Website installiert. Am besten entfernen Sie es. Schlechte Plugin-Entwicklung ist nicht zu entschuldigen. Plugin-Entwickler müssen die WordPress-Codierungsstandards einhalten.
Wie kann der Standardname des Plugin-Ordners wiederhergestellt werden?
- Entfernen Sie alle Zeilen mit den Direktiven WP_PLUGIN_DIR und WP_PLUGIN_URL aus der Datei wp-config.php.
- Der Standardname des Ordners, in dem sich WordPress-Plugins befinden, lautet „plugins“ . Benennen Sie den Plugin-Ordner daher wieder in „plugins“ um.
Nächste Schritte zur Stärkung Ihrer WordPress-Sicherheit
WP Cerber Security 8.0
WP Cerber Security 8.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.