Security Blog
Security Blog
Posted By Gregory

Obtenez WordPress protégé: renommer le dossier plugins


English version: Get WordPress protected: rename the plugins folder


Attribuer un nouveau nom au dossier plugins est l’un des moyens les plus sous-estimés de renforcer la protection WordPress. Et pourtant, c'est gratuit et facile.

Pourquoi c'est important et comment ça marche

Selon nos études chez Cerber Lab, la plupart des attaques de hackers et des tentatives d'exploitation de vulnérabilités de plugins supposent que tous les plugins WordPress se trouvent dans le dossier par défaut de tous les plugins, à savoir / wp-content / plugins / . Heureusement, le nom du dossier peut être facilement remplacé par tout ce que vous voulez en deux étapes simples. Cela signifie-t-il que les cybercriminels n'ont aucune connaissance sur la possibilité de renommer le dossier et d'attaquer à l'aveuglette l'emplacement du plug-in par défaut? Non, pas toujours, mais la grande majorité des sites Web utilisant WordPress utilisent la structure de dossiers par défaut. C'est pourquoi les cybercriminels exploitent facilement cette faiblesse.

Nos analyses montrent que la plupart des sites Web sont piratés en exploitant une vulnérabilité dans un plugin obsolète et que l'attaquant a généralement utilisé la vulnérabilité dans le fichier PHP situé dans le dossier des plugins WordPress par défaut.

Astuce: utilisez le scanner de logiciels malveillants Cerber pour rechercher une vulnérabilité dans les plug-ins installés .

Comment renommer le dossier des plugins WordPress

Tout d'abord, vous devez avoir accès aux fichiers de votre site Web via le panneau de configuration de votre hébergement, qui dispose généralement d'un gestionnaire de fichiers. Vous pouvez également utiliser un client FTP.

La première étape consiste à renommer le dossier plugins avec le nom de votre choix. Supposons que nous utilisons le nom du module . Le nom du dossier ne doit contenir que des caractères ASCII. Simplement dit "utilisez uniquement des lettres de l'alphabet latin".

La deuxième étape consiste à ajouter au fichier wp-config.php deux directives de définition qui indiquent à WordPress que nous utilisons un nouveau nom pour le dossier des plugins. Voir l'exemple ci-dessous et notez:

  • Vous devez ajouter des directives au début du fichier sur la ligne suivante après <? Php .
  • Pas de slash final.

 <? php 

define ('WP_PLUGIN_DIR', '/ full / path / to / wp-content / modules');
define ('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

La constante WP_PLUGIN_DIR définit le chemin complet sans fin de barre oblique vers le dossier des plugins renommés.

La constante WP_PLUGIN_URL définit l'URL sans le slash final du dossier des plugins renommés.

Une fois que vous avez terminé ces deux étapes, vous ajoutez une autre barrière de sécurité à votre WordPress. Un autre mécanisme de sécurité à prendre en compte est l' activation des analyses planifiées des programmes malveillants .

Problèmes possibles et dépannage

Le site Web ne se charge pas. Cela signifie généralement que vous avez fait une faute de frappe dans le nom du dossier. Vérifiez soigneusement les définitions que vous avez ajoutées à wp-config.php, le chemin complet et l'URL spécifiés.

Certaines fonctionnalités ont cessé de fonctionner. Vous avez un plugin mal conçu ou obsolète installé sur le site. La meilleure chose à faire est de s'en débarrasser. Il n'y a aucune excuse pour le développement de plugins pauvres. Un développeur de plugin doit obéir aux normes de codage WordPress.

Comment restaurer le nom de dossier par défaut Supprimez toutes les lignes avec les directives WP_PLUGIN_DIR et WP_PLUGIN_URL du fichier wp-config.php, renommez le dossier du plugin en plugins .

Prochaines étapes pour renforcer votre sécurité WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim
Cancel Reply