Security Blog
Security Blog
Posted By Gregory

Obtener WordPress protegida: cambiar el nombre de la carpeta plugins


English version: Get WordPress protected: rename the plugins folder


Dar a la carpeta de complementos un nuevo nombre es una de las formas más subestimadas que hacen que su protección de WordPress sea más fuerte. Y sin embargo es gratis y fácil.

¿Por qué importa y cómo funciona?

Según nuestros estudios en Cerber Lab, la mayoría de los ataques de piratas informáticos e intentos de explotar las vulnerabilidades de los complementos suponen que todos los complementos de WordPress se encuentran en la carpeta predeterminada de todos los complementos, que es / wp-content / plugins / . Afortunadamente, el nombre de la carpeta se puede cambiar fácilmente a lo que quieras, literalmente, en dos simples pasos. ¿Esto significa que los ciberdelincuentes no tienen ningún conocimiento sobre la capacidad de cambiar el nombre de la carpeta y atacar ciegamente la ubicación del complemento predeterminado? No, no siempre, pero la gran mayoría de los sitios web con tecnología de WordPress utilizan la estructura de carpetas predeterminada , y es por eso que los delincuentes cibernéticos explotan esta debilidad con facilidad.

Nuestro análisis muestra que la mayoría de los sitios web son pirateados al explotar una vulnerabilidad en un complemento obsoleto y, en la mayoría de los casos, el atacante ha utilizado la vulnerabilidad en el archivo PHP que se encuentra en la carpeta de complementos de WordPress predeterminada.

Sugerencia: use el escáner de malware Cerber para encontrar una vulnerabilidad en los complementos instalados .

Cómo cambiar el nombre de la carpeta de complementos de WordPress

En primer lugar, debe tener acceso a los archivos de su sitio web a través del panel de control de su alojamiento, que generalmente tiene un administrador de archivos. Alternativamente, puede utilizar un cliente FTP.

El primer paso es cambiar el nombre de la carpeta de complementos a cualquier nombre que desee. Asumamos que usamos el nombre de los módulos . El nombre de la carpeta debe contener solo caracteres ASCII. Simplemente ponga "use letras del alfabeto latino solamente".

El segundo paso es agregar dos directivas de definición al archivo wp-config.php que le indican a WordPress que usamos un nuevo nombre para la carpeta de complementos. Vea el ejemplo a continuación y note:

  • Debe agregar directivas al principio del archivo en la siguiente línea después de <? Php .
  • No hay barras al final.

 <? php 

define ('WP_PLUGIN_DIR', '/ full / path / to / wp-content / modules');
define ('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

La constante WP_PLUGIN_DIR define la ruta completa sin una barra diagonal descendente a la carpeta de complementos cuyo nombre ha cambiado.

La constante WP_PLUGIN_URL define la URL sin una barra diagonal al final de la carpeta de complementos cuyo nombre ha cambiado.

Una vez que haya completado estos dos pasos, agregue otra barrera de seguridad a su WordPress. Otro mecanismo de seguridad que debe considerar es habilitar los análisis de malware programados .

Posibles problemas y solución de problemas

El sitio web no se está cargando. Por lo general, significa que has hecho un error tipográfico en el nombre de la carpeta. Revise cuidadosamente las definiciones que ha agregado a wp-config.php, la ruta completa y la URL que ha especificado.

Algunas características dejaron de funcionar. Usted tiene un plugin mal diseñado o desactualizado instalado en el sitio web. Lo mejor que puedes hacer es deshacerte de él. No hay excusas para un mal desarrollo del plugin. Un desarrollador de plugins debe obedecer los estándares de codificación de WordPress.

Cómo restaurar el nombre de la carpeta por defecto. Elimine todas las líneas con las directivas WP_PLUGIN_DIR y WP_PLUGIN_URL del archivo wp-config.php, cambie el nombre de la carpeta de complementos a complementos .

Próximos pasos que fortalecerán la seguridad de WordPress.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply