Proteger WordPress: cambiar el nombre de la carpeta de complementos
English version: Get WordPress protected: rename the plugins folder
Cambiar el nombre de la carpeta de plugins es una de las maneras más subestimadas de reforzar la protección de WordPress. Y, sin embargo, es gratis y sencillo.
Por qué es importante y cómo funciona
Según nuestros estudios en Cerber Lab, la mayoría de los ataques de hackers e intentos de explotar vulnerabilidades de plugins asumen que todos los plugins de WordPress se encuentran en la carpeta predeterminada, /wp-content/plugins/ . Afortunadamente, el nombre de esta carpeta se puede cambiar fácilmente en dos sencillos pasos. ¿Significa esto que los ciberdelincuentes desconocen la posibilidad de renombrar la carpeta y atacar a ciegas la ubicación predeterminada de los plugins? No, no siempre, pero la gran mayoría de los sitios web con WordPress utilizan la estructura de carpetas predeterminada , y por eso los ciberdelincuentes explotan esta vulnerabilidad fácilmente.
Nuestro análisis muestra que la mayoría de los sitios web son pirateados explotando una vulnerabilidad en un complemento obsoleto y, en la mayoría de los casos, el atacante ha utilizado la vulnerabilidad en el archivo PHP que se encuentra en la carpeta de complementos predeterminada de WordPress.
Sugerencia:utilice el escáner de malware Cerber para encontrar una vulnerabilidad en los complementos instalados .
Cómo cambiar el nombre de la carpeta de complementos de WordPress
En primer lugar, necesita acceder a los archivos de su sitio web a través del panel de control de su hosting, que suele incluir un administrador de archivos. También puede usar un cliente FTP.
El primer paso es renombrar la carpeta de plugins de WordPress con el nombre que desee. Supongamos que usamos el nombre de los módulos . Tenga en cuenta que el nombre de la carpeta de plugins solo debe contener caracteres ASCII. Simplemente escriba "usar solo letras del alfabeto latino".
El segundo paso es añadir dos directivas de definición al archivo wp-config.php , que ayudan a WordPress a reconocer y usar el nuevo nombre de la carpeta de plugins. En este paso, no se puede usar un editor de archivos integrado en el panel de administración de WordPress. Use un editor de archivos desde el panel de control de su hosting o un cliente FTP para editar el archivo wp-config.php. Vea un ejemplo a continuación y tenga en cuenta lo siguiente:
- Debes agregar directivas al comienzo del archivo en la siguiente línea después de <?php .
- Debes usar la ruta completa a tu directorio de plugins para WP_PLUGIN_DIR. Consejo: Puedes encontrar la ruta completa a la carpeta de plugins estándar en la página de administración Herramientas/Diagnóstico. Se muestra en la sección Sistema de archivos, en la fila "Carpeta de plugins de WordPress".
- Sin barras diagonales finales.
<?php
define('WP_PLUGIN_DIR', '/ruta/completa/a/wp-content/modules');
define('WP_PLUGIN_URL', 'https://ejemplo.com/wp-content/modules');
La constante WP_PLUGIN_DIR define la ruta completa sin barra diagonal final a la carpeta de complementos renombrada .
La constante WP_PLUGIN_URL define la URL sin barra final de la carpeta de complementos renombrada .
Una vez completados estos dos pasos, añadirás una capa de seguridad adicional a tu WordPress. Otro mecanismo de seguridad que deberías considerar es habilitar los análisis programados de malware .
Posibles problemas y solución de problemas
El sitio web no carga y muestra errores. Esto suele significar que cometiste un error tipográfico en el nombre de la carpeta. Revisa cuidadosamente las definiciones que añadiste a wp-config.php, la ruta completa y la URL que especificaste. Debes especificar la ruta y la URL de tu sitio web. No las copies del ejemplo anterior ni intentes cambiar el nombre de la carpeta del plugin ni editar el archivo wp-config.php desde el panel de control de WordPress.
Algunas funciones dejaron de funcionar. Tienes instalado en el sitio web un plugin mal diseñado o desactualizado. Lo mejor es eliminarlo. No hay excusas para un desarrollo deficiente de plugins. Un desarrollador de plugins debe cumplir con los estándares de codificación de WordPress.
Cómo restaurar el nombre predeterminado de la carpeta de complementos
- Eliminar todas las líneas con directivas WP_PLUGIN_DIR y WP_PLUGIN_URL del archivo wp-config.php
- El nombre predeterminado de la carpeta donde residen los complementos de WordPress es plugins, así que cambie el nombre de la carpeta de complementos nuevamente a plugins.
Próximos pasos que fortalecerán la seguridad de tu WordPress
WordPress 5.4.1. Una actualización de seguridad corrige siete vulnerabilidades XSS.
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.