Security Blog
Security Blog
Posted By Gregory

Protégez WordPress : renommez le dossier des plugins


English version: Get WordPress protected: rename the plugins folder


Donner un nouveau nom au dossier des plugins est l’un des moyens les plus sous-estimés de renforcer votre protection WordPress. Et pourtant, c'est gratuit et facile.

Pourquoi c'est important et comment ça marche

Selon nos études au Cerber Lab, la plupart des attaques de pirates et des tentatives d'exploitation des vulnérabilités des plugins supposent que tous les plugins WordPress se trouvent dans le dossier par défaut de tous les plugins, à savoir /wp-content/plugins/ . Heureusement, le nom de ce dossier peut être facilement modifié comme vous le souhaitez en deux étapes simples. Cela signifie-t-il que les cybercriminels n’ont aucune connaissance de la possibilité de renommer le dossier et d’attaquer aveuglément l’emplacement par défaut du plugin ? Non, pas toujours, mais la grande majorité des sites Web WordPress utilisent la structure de dossiers par défaut , et c'est pourquoi les cybercriminels exploitent facilement cette faiblesse.

Nos analyses montrent que la plupart des sites Web sont piratés en exploitant une vulnérabilité dans un plugin obsolète et que dans la plupart des cas, l'attaquant a utilisé la vulnérabilité du fichier PHP situé dans le dossier des plugins WordPress par défaut.

Astuce :utilisez le scanner de logiciels malveillants Cerber pour rechercher une vulnérabilité dans les plugins installés .

Comment renommer le dossier des plugins WordPress

Tout d'abord, vous devez avoir accès aux fichiers de votre site Web via votre panneau de contrôle d'hébergement qui dispose généralement d'un gestionnaire de fichiers. Vous pouvez également utiliser un client FTP.

La première étape consiste à renommer le dossier des plugins WordPress existant sous le nom de votre choix. Supposons que nous utilisions le nom du module . Notez que le nom du dossier plugins doit contenir uniquement des caractères ASCII. Mettez simplement "utilisez uniquement les lettres de l'alphabet latin".

La deuxième étape consiste à ajouter deux directives de définition au fichier wp-config.php qui aident WordPress à reconnaître et à utiliser le nouveau nom du dossier des plugins. Vous ne pouvez pas utiliser un éditeur de fichiers intégré dans le tableau de bord d'administration WordPress à cette étape. Utilisez un éditeur de fichiers depuis votre panneau de contrôle d'hébergement ou un client FTP pour modifier le fichier wp-config.php. Voir un exemple ci-dessous et notez :

  • Vous devez ajouter des directives au début du fichier sur la ligne suivante après <?php .
  • Vous devez utiliser votre chemin complet vers votre répertoire de plugins pour WP_PLUGIN_DIR. Astuce : vous pouvez trouver le chemin complet vers le dossier des plugins standard sur la page d'administration Outils/Diagnostic. Il est affiché dans la section Système de fichiers de la ligne « Dossier des plugins WordPress ».
  • Pas de barres obliques finales.

 <?php

définir('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
définir('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

La constante WP_PLUGIN_DIR définit le chemin complet sans barre oblique vers votre dossier de plugins renommé .

La constante WP_PLUGIN_URL définit l'URL sans barre oblique finale de votre dossier de plugins renommé .

Une fois ces deux étapes terminées, vous ajoutez une couche de sécurité supplémentaire à votre WordPress. Un autre mécanisme de sécurité que vous devriez envisager consiste à activer les analyses programmées des logiciels malveillants .

Problèmes possibles et dépannage

Le site Web ne se charge pas et affiche des erreurs. Cela signifie généralement que vous avez fait une faute de frappe dans le nom du dossier. Vérifiez soigneusement les définitions que vous avez ajoutées à wp-config.php, le chemin complet et l'URL que vous avez spécifiée. Vous devez spécifier le chemin et l'URL de votre site Web. Ne les copiez pas à partir de l'exemple ci-dessus et n'essayez pas de renommer le dossier du plugin ou de modifier le fichier wp-config.php depuis le tableau de bord WordPress.

Certaines fonctionnalités ont cessé de fonctionner. Il se trouve que vous avez installé un plugin mal conçu ou obsolète sur le site Web. La meilleure chose que vous puissiez faire est de vous en débarrasser. Il n’y a aucune excuse pour un mauvais développement de plugins. Un développeur de plugin doit obéir aux normes de codage WordPress.

Comment restaurer le nom par défaut du dossier des plugins

  1. Supprimez toutes les lignes avec les directives WP_PLUGIN_DIR et WP_PLUGIN_URL du fichier wp-config.php
  2. Le nom par défaut du dossier où résident les plugins WordPress est plugins , donc renommez le dossier du plugin en plugins.

Prochaines étapes qui renforceront votre sécurité WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim
Cancel Reply