Security Blog
Security Blog
Posted By Gregory

Proteja WordPress: cambie el nombre de la carpeta de complementos


English version: Get WordPress protected: rename the plugins folder


Darle un nuevo nombre a la carpeta de complementos es una de las formas más subestimadas de fortalecer la protección de WordPress. Y, sin embargo, es gratis y fácil.

Por qué es importante y cómo funciona

Según nuestros estudios en Cerber Lab, la mayoría de los ataques de piratas informáticos y los intentos de explotar las vulnerabilidades de los complementos suponen que todos los complementos de WordPress están ubicados en la carpeta predeterminada para todos los complementos, que es /wp-content/plugins/ . Afortunadamente, el nombre de esta carpeta se puede cambiar fácilmente por el que desee, literalmente en dos sencillos pasos. ¿Significa esto que los ciberdelincuentes no tienen ningún conocimiento sobre la capacidad de cambiar el nombre de la carpeta y atacar ciegamente la ubicación predeterminada del complemento? No, no siempre, pero la gran mayoría de los sitios web con WordPress utilizan la estructura de carpetas predeterminada y es por eso que los ciberdelincuentes explotan esta debilidad con facilidad.

Nuestros análisis muestran que la mayoría de los sitios web son pirateados explotando una vulnerabilidad en un complemento desactualizado y, en la mayoría de los casos, el atacante ha utilizado la vulnerabilidad en el archivo PHP que se encuentra en la carpeta predeterminada de complementos de WordPress.

Sugerencia:utilice el escáner de malware Cerber para encontrar una vulnerabilidad en los complementos instalados .

Cómo cambiar el nombre de la carpeta de complementos de WordPress

En primer lugar, necesitas tener acceso a los archivos de tu sitio web a través del panel de control de tu hosting, que normalmente tiene un administrador de archivos. Alternativamente, puede utilizar un cliente FTP.

El primer paso es cambiar el nombre de la carpeta de complementos de WordPress existente al nombre que desee. Supongamos que usamos el nombre del módulo . Tenga en cuenta que el nombre de la carpeta de complementos debe contener únicamente caracteres ASCII. En pocas palabras, "use únicamente letras del alfabeto latino".

El segundo paso es agregar dos directivas de definición al archivo wp-config.php que ayudan a WordPress a reconocer y usar el nuevo nombre de la carpeta de complementos. No puede utilizar un editor de archivos integrado en el panel de administración de WordPress en este paso. Utilice un editor de archivos desde su panel de control de alojamiento o un cliente FTP para editar el archivo wp-config.php. Vea un ejemplo a continuación y tenga en cuenta:

  • Tienes que agregar directivas al principio del archivo en la siguiente línea después de <?php .
  • Debe utilizar la ruta completa a su directorio de complementos para WP_PLUGIN_DIR. Sugerencia: puede encontrar la ruta completa a la carpeta de complementos estándar en la página de administración Herramientas/Diagnóstico. Se muestra en la sección Sistema de archivos en la fila "Carpeta de complementos de WordPress".
  • Sin barras al final.

 <?php

define('WP_PLUGIN_DIR', '/ruta/completa/a/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

La constante WP_PLUGIN_DIR define la ruta completa sin barra diagonal a la carpeta de complementos renombrada .

La constante WP_PLUGIN_URL define la URL sin barra diagonal de su carpeta de complementos renombrada .

Una vez que haya completado estos dos pasos, agregará una capa de seguridad adicional a su WordPress. Otro mecanismo de seguridad que debería considerar es habilitar análisis de malware programados .

Posibles problemas y solución de problemas

El sitio web no se carga y muestra errores. Por lo general, significa que ha cometido un error tipográfico en el nombre de la carpeta. Verifique cuidadosamente las definiciones que agregó a wp-config.php, la ruta completa y la URL que especificó. Debe especificar la ruta y la URL de su sitio web. No los copie del ejemplo anterior y no intente cambiar el nombre de la carpeta del complemento ni editar el archivo wp-config.php desde el panel de WordPress.

Algunas funciones dejaron de funcionar. Tiene un complemento mal diseñado o desactualizado instalado en el sitio web. Lo mejor que puedes hacer es deshacerte de él. No hay excusas para un desarrollo deficiente de complementos. Un desarrollador de complementos debe obedecer los estándares de codificación de WordPress.

Cómo restaurar el nombre predeterminado de la carpeta de complementos

  1. Elimine todas las líneas con las directivas WP_PLUGIN_DIR y WP_PLUGIN_URL del archivo wp-config.php
  2. El nombre predeterminado de la carpeta donde residen los complementos de WordPress es complementos , así que cambie el nombre de la carpeta de complementos a complementos.

Próximos pasos que fortalecerán su seguridad de WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments