Security Blog
Security Blog
Posted By Gregory

Protege WordPress: cambia el nombre de la carpeta de complementos


English version: Get WordPress protected: rename the plugins folder


Darle un nuevo nombre a la carpeta de complementos es una de las formas más subestimadas de fortalecer la protección de WordPress. Y, sin embargo, es gratis y fácil.

Por qué es importante y cómo funciona

Según nuestros estudios en Cerber Lab, la mayoría de los ataques de piratas informáticos y los intentos de explotar las vulnerabilidades de los complementos suponen que todos los complementos de WordPress se encuentran en la carpeta predeterminada para todos los complementos, que es /wp-content/plugins/ . Afortunadamente, el nombre de esta carpeta se puede cambiar fácilmente a lo que desee en literalmente dos simples pasos. ¿Significa esto que los cibercriminales no tienen ningún conocimiento sobre la capacidad de cambiar el nombre de la carpeta y atacar ciegamente la ubicación predeterminada del complemento? No, no siempre, pero la gran mayoría de los sitios web que funcionan con WordPress utilizan la estructura de carpetas predeterminada , y es por eso que los cibercriminales explotan esta debilidad con facilidad.

Nuestros análisis muestran que la mayoría de los sitios web son pirateados explotando una vulnerabilidad en un complemento desactualizado y, en la mayoría de los casos, el atacante ha utilizado la vulnerabilidad en el archivo PHP que se encuentra en la carpeta de complementos predeterminados de WordPress.

Sugerencia: utilice el escáner de malware Cerber para encontrar una vulnerabilidad en los complementos instalados .

Cómo cambiar el nombre de la carpeta de complementos de WordPress

En primer lugar, debe tener acceso a los archivos de su sitio web a través del panel de control de su alojamiento, que normalmente tiene un administrador de archivos. Otra opción es utilizar un cliente FTP.

El primer paso es cambiar el nombre de la carpeta de complementos de WordPress existente por el nombre que desee. Supongamos que usamos el nombre de los módulos . Tenga en cuenta que el nombre de la carpeta de complementos debe contener solo caracteres ASCII. Simplemente escriba "usar solo letras del alfabeto latino".

El segundo paso es agregar dos directivas de definición al archivo wp-config.php que ayudan a WordPress a reconocer y usar el nuevo nombre de la carpeta de complementos. No puede usar un editor de archivos integrado en el panel de administración de WordPress en este paso. Use un editor de archivos desde el panel de control de su alojamiento o un cliente FTP para editar el archivo wp-config.php. Vea un ejemplo a continuación y tenga en cuenta lo siguiente:

  • Debes agregar directivas al principio del archivo en la siguiente línea después de <?php .
  • Debes utilizar la ruta completa a tu directorio de complementos para WP_PLUGIN_DIR. Sugerencia: puedes encontrar la ruta completa a la carpeta de complementos estándar en la página de administración Herramientas/Diagnóstico. Se muestra en la sección Sistema de archivos en la fila "Carpeta de complementos de WordPress".
  • Sin barras diagonales finales.

 <?php

define('WP_PLUGIN_DIR', '/ruta/completa/a/wp-content/modules');
define('WP_PLUGIN_URL', 'https://ejemplo.com/wp-content/modules');

La constante WP_PLUGIN_DIR define la ruta completa sin barra final a la carpeta de complementos renombrada .

La constante WP_PLUGIN_URL define la URL sin barra final de la carpeta de complementos renombrada .

Una vez que hayas completado estos dos pasos, agregarás una capa de seguridad adicional a tu WordPress. Otro mecanismo de seguridad que debes considerar es habilitar los análisis programados de malware .

Posibles problemas y solución de problemas

El sitio web no se carga y muestra errores. Por lo general, significa que cometiste un error tipográfico en el nombre de la carpeta. Revisa con atención las definiciones que agregaste a wp-config.php, la ruta completa y la URL que especificaste. Debes especificar la ruta y la URL de tu sitio web. No las copies del ejemplo anterior y no intentes cambiar el nombre de la carpeta del complemento ni editar el archivo wp-config.php desde el panel de control de WordPress.

Algunas funciones dejaron de funcionar. Tienes instalado en el sitio web un complemento mal diseñado o desactualizado. Lo mejor que puedes hacer es deshacerte de él. No hay excusas para un desarrollo deficiente de complementos. Un desarrollador de complementos debe respetar los estándares de codificación de WordPress.

Cómo restaurar el nombre predeterminado de la carpeta de complementos

  1. Eliminar todas las líneas con directivas WP_PLUGIN_DIR y WP_PLUGIN_URL del archivo wp-config.php
  2. El nombre predeterminado de la carpeta donde residen los complementos de WordPress es plugins, así que cambie el nombre de la carpeta de complementos a plugins.

Próximos pasos que fortalecerán la seguridad de WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply