Proteggi WordPress: rinomina la cartella dei plugin
English version: Get WordPress protected: rename the plugins folder
Rinominare la cartella dei plugin è uno dei metodi più sottovalutati per rafforzare la protezione del tuo WordPress. Eppure è gratuito e semplice.
Perché è importante e come funziona
Secondo i nostri studi presso Cerber Lab, la maggior parte degli attacchi hacker e dei tentativi di sfruttare le vulnerabilità dei plugin presuppone che tutti i plugin di WordPress si trovino nella cartella predefinita, ovvero /wp-content/plugins/ . Fortunatamente, il nome di questa cartella può essere facilmente modificato in due semplici passaggi. Questo significa forse che i criminali informatici ignorano la possibilità di rinominare la cartella e attaccano indiscriminatamente la posizione predefinita dei plugin? No, non sempre, ma la stragrande maggioranza dei siti web basati su WordPress utilizza la struttura di cartelle predefinita , ed è per questo che i criminali informatici sfruttano facilmente questa debolezza.
Le nostre analisi dimostrano che la maggior parte dei siti web viene violata sfruttando una vulnerabilità in un plugin obsoleto e, nella maggior parte dei casi, l'attaccante ha utilizzato la vulnerabilità presente nel file PHP che si trova nella cartella predefinita dei plugin di WordPress.
Suggerimento:utilizza lo scanner antimalware Cerber per individuare una vulnerabilità nei plugin installati .
Come rinominare la cartella dei plugin di WordPress
Innanzitutto, è necessario avere accesso ai file del proprio sito web tramite il pannello di controllo dell'hosting, che di solito include un file manager. In alternativa, è possibile utilizzare un client FTP.
Il primo passo consiste nel rinominare la cartella dei plugin di WordPress esistente con un nome a piacere. Supponiamo di usare il nome "modules ". È importante notare che il nome della cartella dei plugin deve contenere solo caratteri ASCII. In altre parole, "utilizzare solo lettere dell'alfabeto latino".
Il secondo passaggio consiste nell'aggiungere due direttive define al file wp-config.php che aiutano WordPress a riconoscere e utilizzare il nuovo nome della cartella dei plugin. In questa fase non è possibile utilizzare l'editor di file integrato nella bacheca di amministrazione di WordPress. Utilizzare un editor di file dal pannello di controllo del proprio hosting o un client FTP per modificare il file wp-config.php. Vedere l'esempio qui sotto e notare:
- Devi aggiungere le direttive all'inizio del file sulla riga successiva a <?php .
- Per WP_PLUGIN_DIR devi utilizzare il percorso completo della directory dei plugin. Suggerimento: puoi trovare il percorso completo della cartella standard dei plugin nella pagina Strumenti / Diagnostica di amministrazione. È visualizzato nella sezione File system, nella riga "Cartella dei plugin di WordPress".
- Niente barre finali.
<?php
define('WP_PLUGIN_DIR', '/percorso/completo/alla/cartella/dei/moduli/di/wp-content');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
La costante WP_PLUGIN_DIR definisce il percorso completo, senza barra finale, della cartella dei plugin rinominata .
La costante WP_PLUGIN_URL definisce l'URL, senza la barra finale, della cartella dei plugin rinominata .
Una volta completati questi due passaggi, aggiungerai un ulteriore livello di sicurezza al tuo WordPress. Un altro meccanismo di sicurezza da prendere in considerazione è l'attivazione di scansioni malware programmate .
Possibili problemi e relative soluzioni
Il sito web non si carica e mostra degli errori. Di solito significa che hai commesso un errore di battitura nel nome della cartella. Controlla attentamente le definizioni che hai aggiunto a wp-config.php, il percorso completo e l'URL che hai specificato. Devi specificare il percorso e l'URL del tuo sito web. Non copiarli dall'esempio sopra e non provare a rinominare la cartella del plugin o a modificare il file wp-config.php dalla bacheca di WordPress.
Alcune funzionalità hanno smesso di funzionare. Potrebbe darsi che sul tuo sito web sia installato un plugin mal progettato o obsoleto. La cosa migliore da fare è rimuoverlo. Non ci sono scuse per uno sviluppo di plugin scadente. Uno sviluppatore di plugin deve rispettare gli standard di codifica di WordPress.
Come ripristinare il nome predefinito della cartella dei plugin
- Rimuovi tutte le righe contenenti le direttive WP_PLUGIN_DIR e WP_PLUGIN_URL dal file wp-config.php
- Il nome predefinito della cartella in cui risiedono i plugin di WordPress è plugins , quindi rinomina la cartella dei plugin in plugins
Prossimi passi per rafforzare la sicurezza del tuo WordPress
Ottimizzazione delle prestazioni di esportazione
WP Cerber Security 8.5.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.