Ottieni la protezione di WordPress: rinomina la cartella dei plugin
English version: Get WordPress protected: rename the plugins folder
Dare un nuovo nome alla cartella dei plugin è uno dei modi più sottovalutati per rafforzare la protezione di WordPress. Eppure è gratuito e facile.
Perché è importante e come funziona
Secondo i nostri studi presso Cerber Lab, la maggior parte degli attacchi hacker e dei tentativi di sfruttare le vulnerabilità dei plugin presuppone che tutti i plugin di WordPress si trovino nella cartella predefinita per tutti i plugin, ovvero /wp-content/plugins/ . Fortunatamente, il nome di questa cartella può essere facilmente modificato in qualsiasi nome si desideri, letteralmente in due semplici passaggi. Ciò significa che i criminali informatici non hanno alcuna conoscenza della possibilità di rinominare la cartella e attaccare ciecamente la posizione predefinita del plugin? No, non sempre, ma la stragrande maggioranza dei siti Web basati su WordPress utilizza la struttura di cartelle predefinita , ed è per questo che i criminali informatici sfruttano questa debolezza con facilità.
Le nostre analisi mostrano che la maggior parte dei siti web viene hackerata sfruttando una vulnerabilità in un plugin obsoleto e nella maggior parte dei casi l'aggressore ha utilizzato la vulnerabilità nel file PHP che si trova nella cartella dei plugin predefiniti di WordPress.
Suggerimento:utilizza lo scanner malware Cerber per trovare una vulnerabilità nei plugin installati .
Come rinominare la cartella dei plugin di WordPress
Prima di tutto, devi avere accesso ai file sul tuo sito web tramite il pannello di controllo dell'hosting che solitamente ha un file manager. In alternativa, puoi usare un client FTP.
Il primo passo è rinominare la cartella dei plugin di WordPress esistente con il nome che preferisci. Supponiamo di usare il nome dei moduli . Nota che il nome della cartella dei plugin deve contenere solo caratteri ASCII. In parole povere "usa solo lettere dell'alfabeto latino".
Il secondo passaggio consiste nell'aggiungere due direttive define al file wp-config.php che aiutano WordPress a riconoscere e usare il nuovo nome della cartella dei plugin. Non puoi usare un editor di file integrato nella dashboard di amministrazione di WordPress in questo passaggio. Usa un editor di file dal tuo pannello di controllo hosting o un client FTP per modificare il file wp-config.php. Guarda un esempio qui sotto e nota:
- È necessario aggiungere le direttive all'inizio del file, sulla riga successiva a <?php .
- Devi usare il percorso completo alla directory dei tuoi plugin per WP_PLUGIN_DIR. Suggerimento: puoi trovare il percorso completo alla cartella dei plugin standard nella pagina di amministrazione Strumenti / Diagnostica. È mostrato nella sezione Filesystem nella riga "Cartella plugin WordPress".
- Nessuna barra finale.
<?php
define('WP_PLUGIN_DIR', '/percorso/completo/per/i/moduli/wp-content');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
La costante WP_PLUGIN_DIR definisce il percorso completo senza barra finale per la cartella dei plugin rinominata .
La costante WP_PLUGIN_URL definisce l'URL senza barra finale della cartella dei plugin rinominata .
Una volta completati questi due passaggi, aggiungi un ulteriore livello di sicurezza al tuo WordPress. Un altro meccanismo di sicurezza che dovresti considerare è l'abilitazione delle scansioni malware programmate .
Possibili problemi e risoluzione dei problemi
Il sito web non si carica e mostra errori. Di solito significa che hai fatto un errore di battitura nel nome della cartella. Controlla attentamente le definizioni che hai aggiunto a wp-config.php, il percorso completo e l'URL che hai specificato. Devi specificare il percorso e l'URL del tuo sito web. Non copiarli dall'esempio sopra e non provare a rinominare la cartella del plugin o a modificare il file wp-config.php dall'interno della dashboard di WordPress.
Alcune funzionalità hanno smesso di funzionare. Capita di avere un plugin mal progettato o obsoleto installato sul sito web. La cosa migliore che puoi fare è sbarazzartene. Non ci sono scuse per uno sviluppo di plugin scadente. Uno sviluppatore di plugin deve rispettare gli standard di codifica di WordPress.
Come ripristinare il nome predefinito della cartella dei plugin
- Rimuovere tutte le righe con le direttive WP_PLUGIN_DIR e WP_PLUGIN_URL dal file wp-config.php
- Il nome predefinito della cartella in cui risiedono i plugin di WordPress è plugins , quindi rinomina la cartella dei plugin in plugins
I prossimi passi che rafforzeranno la sicurezza del tuo WordPress
Ottimizzazione delle prestazioni di esportazione
WP Cerber Security 8.5.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.