Protégez WordPress : renommez le dossier des plugins
English version: Get WordPress protected: rename the plugins folder
Donner un nouveau nom au dossier des plugins est l'une des méthodes les plus sous-estimées pour renforcer la protection de votre WordPress. Et pourtant, c'est gratuit et facile.
Pourquoi c'est important et comment ça marche
Selon nos études au Cerber Lab, la plupart des attaques de pirates informatiques et des tentatives d'exploitation des vulnérabilités des plugins supposent que tous les plugins WordPress se trouvent dans le dossier par défaut de tous les plugins, à savoir /wp-content/plugins/ . Heureusement, le nom de ce dossier peut être facilement modifié en deux étapes simples. Cela signifie-t-il que les cybercriminels n'ont aucune connaissance de la possibilité de renommer le dossier et d'attaquer aveuglément l'emplacement par défaut du plugin ? Non, pas toujours, mais la grande majorité des sites Web propulsés par WordPress utilisent la structure de dossiers par défaut , et c'est pourquoi les cybercriminels exploitent cette faiblesse avec facilité.
Nos analyses montrent que la plupart des sites Web sont piratés en exploitant une vulnérabilité dans un plugin obsolète et dans la plupart des cas, l'attaquant a utilisé la vulnérabilité dans le fichier PHP situé dans le dossier des plugins WordPress par défaut.
Comment renommer le dossier des plugins WordPress
Tout d'abord, vous devez avoir accès aux fichiers de votre site Web via votre panneau de contrôle d'hébergement qui dispose généralement d'un gestionnaire de fichiers. Vous pouvez également utiliser un client FTP.
La première étape consiste à renommer le dossier des plugins WordPress existant avec le nom de votre choix. Supposons que nous utilisions le nom des modules . Notez que le nom du dossier des plugins doit contenir uniquement des caractères ASCII. Dites simplement « utilisez uniquement des lettres de l'alphabet latin ».
La deuxième étape consiste à ajouter deux directives de définition au fichier wp-config.php qui aident WordPress à reconnaître et à utiliser le nouveau nom du dossier des plugins. Vous ne pouvez pas utiliser d'éditeur de fichiers intégré dans le tableau de bord d'administration de WordPress à cette étape. Utilisez un éditeur de fichiers depuis votre panneau de contrôle d'hébergement ou un client FTP pour modifier le fichier wp-config.php. Voir un exemple ci-dessous et noter :
- Vous devez ajouter des directives au début du fichier sur la ligne suivante après <?php .
- Vous devez utiliser le chemin d'accès complet à votre répertoire de plugins pour WP_PLUGIN_DIR. Astuce : vous pouvez trouver le chemin d'accès complet au dossier de plugins standard sur la page d'administration Outils/Diagnostic. Il est affiché dans la section Système de fichiers de la ligne « Dossier de plugins WordPress ».
- Pas de barres obliques à la fin.
<?php
define('WP_PLUGIN_DIR', '/chemin/complet/vers/wp-content/modules');
définir('WP_PLUGIN_URL', 'https://exemple.com/wp-content/modules');
La constante WP_PLUGIN_DIR définit le chemin complet sans barre oblique de fin vers votre dossier de plugins renommé .
La constante WP_PLUGIN_URL définit l'URL sans barre oblique de fin de votre dossier de plugins renommé .
Une fois ces deux étapes terminées, vous ajoutez une couche de sécurité supplémentaire à votre WordPress. Un autre mécanisme de sécurité que vous devriez envisager est l'activation des analyses programmées de logiciels malveillants .
Problèmes possibles et dépannage
Le site Web ne se charge pas et affiche des erreurs. Cela signifie généralement que vous avez fait une erreur de frappe dans le nom du dossier. Vérifiez soigneusement les définitions que vous avez ajoutées à wp-config.php, le chemin complet et l'URL que vous avez spécifiés. Vous devez spécifier le chemin et l'URL de votre site Web. Ne les copiez pas à partir de l'exemple ci-dessus et n'essayez pas de renommer le dossier du plugin ou de modifier le fichier wp-config.php à partir du tableau de bord WordPress.
Certaines fonctionnalités ont cessé de fonctionner. Il se trouve que vous avez installé sur votre site Web un plugin mal conçu ou obsolète. La meilleure chose à faire est de vous en débarrasser. Il n'y a aucune excuse pour un développement de plugin médiocre. Un développeur de plugin doit respecter les normes de codage WordPress.
Comment restaurer le nom par défaut du dossier des plugins
- Supprimez toutes les lignes contenant les directives WP_PLUGIN_DIR et WP_PLUGIN_URL du fichier wp-config.php
- Le nom par défaut du dossier dans lequel résident les plugins WordPress est plugins , renommez donc le dossier des plugins en plugins
Prochaines étapes pour renforcer la sécurité de votre WordPress
Comment réinstaller WordPress en toute sécurité
Optimiser les performances à l’export
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.