Protégez WordPress : renommez le dossier des plugins
English version: Get WordPress protected: rename the plugins folder
Renommer le dossier des plugins est l'une des méthodes les plus sous-estimées pour renforcer la sécurité de votre installation WordPress. Et pourtant, c'est gratuit et facile.
Pourquoi c'est important et comment ça fonctionne
D'après nos études chez Cerber Lab, la plupart des attaques de pirates informatiques et des tentatives d'exploitation des vulnérabilités des plugins partent du principe que tous les plugins WordPress se trouvent dans le dossier par défaut, à savoir /wp-content/plugins/ . Heureusement, le nom de ce dossier peut être facilement modifié en deux étapes seulement. Cela signifie-t-il que les cybercriminels ignorent totalement cette possibilité et attaquent aveuglément l'emplacement par défaut des plugins ? Non, pas toujours. Cependant, la grande majorité des sites WordPress utilisent la structure de dossiers par défaut , ce qui explique pourquoi les cybercriminels exploitent si facilement cette faille.
Nos analyses montrent que la plupart des sites web sont piratés en exploitant une vulnérabilité dans un plugin obsolète et, dans la plupart des cas, l'attaquant a utilisé cette vulnérabilité dans le fichier PHP situé dans le dossier des plugins par défaut de WordPress.
Comment renommer le dossier des plugins WordPress
Tout d'abord, vous devez accéder aux fichiers de votre site web via le panneau de contrôle de votre hébergement, qui comprend généralement un gestionnaire de fichiers. Vous pouvez également utiliser un client FTP.
La première étape consiste à renommer le dossier des plugins WordPress existant. Supposons que nous utilisions le nom « modules » . Notez que le nom du dossier des plugins doit contenir uniquement des caractères ASCII, c'est-à-dire des lettres de l'alphabet latin.
La deuxième étape consiste à ajouter deux directives « define » au fichier wp-config.php afin que WordPress reconnaisse et utilise le nouveau nom du dossier des plugins. À cette étape, vous ne pouvez pas utiliser l'éditeur de fichiers intégré au tableau de bord d'administration de WordPress. Utilisez un éditeur de fichiers depuis votre panneau de contrôle d'hébergement ou un client FTP pour modifier le fichier wp-config.php. Voir l'exemple ci-dessous.
- Vous devez ajouter des directives au début du fichier sur la ligne suivante après <?php .
- Vous devez indiquer le chemin complet vers votre répertoire d'extensions pour la variable d'environnement WP_PLUGIN_DIR. Astuce : vous trouverez ce chemin dans la section « Outils » / « Diagnostic » de l'administration, dans la ligne « Dossier des extensions WordPress » de la section « Système de fichiers ».
- Pas de barres obliques finales.
<?php
définir('WP_PLUGIN_DIR', '/chemin/complet/vers/wp-content/modules');
définir('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
La constante WP_PLUGIN_DIR définit le chemin complet, sans barre oblique finale, vers votre dossier de plugins renommé .
La constante WP_PLUGIN_URL définit l'URL, sans la barre oblique finale, de votre dossier de plugins renommé .
Une fois ces deux étapes réalisées, vous ajoutez une couche de sécurité supplémentaire à votre installation WordPress. Il est également conseillé d'activer les analyses antivirus planifiées .
Problèmes possibles et dépannage
Le site web ne se charge pas et affiche des erreurs. Cela signifie généralement que vous avez fait une faute de frappe dans le nom du dossier. Vérifiez attentivement les définitions que vous avez ajoutées au fichier wp-config.php, le chemin complet et l'URL que vous avez spécifiés. Vous devez indiquer le chemin et l'URL de votre site web. Ne les copiez pas à partir de l'exemple ci-dessus et ne tentez pas de renommer le dossier du plugin ni de modifier le fichier wp-config.php depuis le tableau de bord WordPress.
Certaines fonctionnalités ne fonctionnent plus. Il se trouve que vous avez installé un plugin mal conçu ou obsolète sur votre site web. La meilleure solution est de le supprimer. Un développement de plugin de mauvaise qualité est inadmissible. Un développeur de plugin doit respecter les normes de codage de WordPress.
Comment restaurer le nom par défaut du dossier des plugins
- Supprimez toutes les lignes contenant les directives WP_PLUGIN_DIR et WP_PLUGIN_URL du fichier wp-config.php
- Le nom par défaut du dossier contenant les plugins WordPress est « plugins » . Renommez donc ce dossier en « plugins ».
Étapes suivantes pour renforcer la sécurité de votre site WordPress
WP Cerber Security 8.0
WP Cerber Security 8.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.