Ottieni la protezione di WordPress: rinomina la cartella dei plugin
English version: Get WordPress protected: rename the plugins folder
Dare un nuovo nome alla cartella dei plugin è uno dei modi più sottovalutati per rafforzare la protezione di WordPress. Eppure è gratuito e facile.
Perché è importante e come funziona
Secondo i nostri studi presso Cerber Lab, la maggior parte degli attacchi degli hacker e dei tentativi di sfruttare le vulnerabilità dei plugin presuppone che tutti i plugin di WordPress si trovino nella cartella predefinita per tutti i plugin che è /wp-content/plugins/ . Fortunatamente, il nome di questa cartella può essere facilmente modificato in quello che desideri in letteralmente due semplici passaggi. Ciò significa che i criminali informatici non hanno alcuna conoscenza della possibilità di rinominare la cartella e attaccare ciecamente la posizione predefinita del plug-in? No, non sempre, ma la stragrande maggioranza dei siti Web basati su WordPress utilizza la struttura delle cartelle predefinita ed è per questo che i criminali informatici sfruttano facilmente questa debolezza.
Le nostre analisi mostrano che la maggior parte dei siti Web viene violata sfruttando una vulnerabilità in un plug-in obsoleto e nella maggior parte dei casi l'aggressore ha utilizzato la vulnerabilità nel file PHP che si trova nella cartella predefinita dei plug-in di WordPress.
Suggerimento:utilizza lo scanner malware di Cerber per trovare una vulnerabilità nei plugin installati .
Come rinominare la cartella dei plugin di WordPress
Prima di tutto, devi avere accesso ai file sul tuo sito web tramite il pannello di controllo del tuo hosting che di solito ha un file manager. In alternativa è possibile utilizzare un client FTP.
Il primo passo è rinominare la cartella dei plugin WordPress esistente con il nome che desideri. Supponiamo di utilizzare il nome del modulo . Tieni presente che il nome della cartella dei plugin deve contenere solo caratteri ASCII. In poche parole "usa solo lettere dell'alfabeto latino".
Il secondo passo è aggiungere due direttive define al file wp-config.php che aiutano WordPress a riconoscere e utilizzare il nuovo nome della cartella dei plugin. In questo passaggio non puoi utilizzare un editor di file integrato nella dashboard di amministrazione di WordPress. Utilizza un editor di file dal pannello di controllo del tuo hosting o un client FTP per modificare il file wp-config.php. Guarda l'esempio qui sotto e nota:
- Devi aggiungere le direttive all'inizio del file nella riga successiva dopo <?php .
- Devi utilizzare il percorso completo della directory dei plugin per WP_PLUGIN_DIR. Suggerimento: puoi trovare il percorso completo della cartella dei plugin standard nella pagina di amministrazione Strumenti/Diagnostica. È mostrato nella sezione Filesystem nella riga "Cartella plugin WordPress".
- Nessuna barra finale.
<?php
define('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
La costante WP_PLUGIN_DIR definisce il percorso completo senza barra finale alla cartella dei plugin rinominati .
La costante WP_PLUGIN_URL definisce l'URL senza barra finale della cartella dei plugin rinominata .
Una volta completati questi due passaggi, aggiungi un ulteriore livello di sicurezza al tuo WordPress. Un altro meccanismo di sicurezza da considerare è l'attivazione delle scansioni malware pianificate .
Possibili problemi e risoluzione dei problemi
Il sito web non si carica e mostra errori. Di solito significa che hai fatto un errore di battitura nel nome della cartella. Controlla attentamente le definizioni che hai aggiunto a wp-config.php, il percorso completo e l'URL che hai specificato. Devi specificare il percorso e l'URL del tuo sito web. Non copiarli dall'esempio sopra e non provare a rinominare la cartella del plugin o modificare il file wp-config.php dalla dashboard di WordPress.
Alcune funzionalità hanno smesso di funzionare. Ti capita di avere un plugin mal progettato o obsoleto installato sul sito web. La cosa migliore che puoi fare è sbarazzartene. Non ci sono scuse per uno sviluppo inadeguato dei plugin. Uno sviluppatore di plugin deve rispettare gli standard di codifica di WordPress.
Come ripristinare il nome predefinito della cartella dei plugin
- Rimuovi tutte le righe con le direttive WP_PLUGIN_DIR e WP_PLUGIN_URL dal file wp-config.php
- Il nome predefinito della cartella in cui risiedono i plugin di WordPress è plugin , quindi rinomina la cartella dei plugin in plugin
I prossimi passi che rafforzeranno la sicurezza di WordPress
WP Cerber Security 8.7
Gestire le password delle applicazioni WordPress in modo semplice
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.