Beveilig WordPress: hernoem de map met plug-ins.
English version: Get WordPress protected: rename the plugins folder
Het wijzigen van de naam van de pluginmap is een van de meest onderschatte manieren om de beveiliging van je WordPress-website te verbeteren. En het is bovendien gratis en eenvoudig.
Waarom het belangrijk is en hoe het werkt
Volgens onze studies bij Cerber Lab gaan de meeste hackeraanvallen en pogingen om kwetsbaarheden in plugins te misbruiken ervan uit dat alle WordPress-plugins zich in de standaardmap voor alle plugins bevinden, namelijk /wp-content/plugins/ . Gelukkig kan de naam van deze map in slechts twee stappen eenvoudig worden gewijzigd. Betekent dit dat cybercriminelen geen enkele kennis hebben van de mogelijkheid om de map te hernoemen en blindelings de standaardlocatie voor plugins aanvallen? Nee, niet altijd, maar de overgrote meerderheid van WordPress-websites gebruikt de standaard mapstructuur , en daarom maken cybercriminelen gemakkelijk misbruik van deze zwakte.
Uit onze analyses blijkt dat de meeste websites worden gehackt door misbruik te maken van een kwetsbaarheid in een verouderde plugin. In de meeste gevallen maakt de aanvaller gebruik van de kwetsbaarheid in het PHP-bestand dat zich in de standaard WordPress-pluginmap bevindt.
Tip:gebruik de Cerber malware scanner om een kwetsbaarheid in geïnstalleerde plug-ins te vinden .
Hoe hernoem je de WordPress-pluginmap?
Allereerst moet je toegang hebben tot de bestanden op je website via het controlepaneel van je hostingprovider, dat meestal een bestandsbeheerder heeft. Je kunt ook een FTP-client gebruiken.
De eerste stap is het hernoemen van de bestaande WordPress-pluginsmap naar een naam naar keuze. Laten we aannemen dat we de naam van de modules gebruiken. Let op: de naam van de pluginsmap mag alleen ASCII-tekens bevatten. Gebruik dus alleen letters uit het Latijnse alfabet.
De tweede stap is het toevoegen van twee define-richtlijnen aan het wp-config.php- bestand. Deze richtlijnen helpen WordPress de nieuwe naam van de pluginsmap te herkennen en te gebruiken. Gebruik in deze stap niet de ingebouwde bestandseditor in het WordPress-beheerpaneel. Gebruik een bestandseditor vanuit uw hostingcontrolepaneel of een FTP-client om het wp-config.php-bestand te bewerken. Zie onderstaand voorbeeld en let op:
- Je moet de instructies aan het begin van het bestand toevoegen, op de regel direct na <?php .
- Voor WP_PLUGIN_DIR moet je het volledige pad naar je pluginsmap gebruiken. Tip: Je vindt het volledige pad naar de standaard pluginsmap op de beheerderspagina 'Tools / Diagnostiek'. Het staat in het gedeelte 'Bestandssysteem' onder de regel 'WordPress pluginsmap'.
- Geen afsluitende schuine strepen.
<?php
define('WP_PLUGIN_DIR', '/volledig/pad/naar/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
De constante WP_PLUGIN_DIR definieert het volledige pad zonder afsluitende schuine streep naar uw hernoemde pluginsmap.
De constante WP_PLUGIN_URL definieert de URL zonder de afsluitende slash van uw hernoemde pluginsmap.
Nadat je deze twee stappen hebt voltooid, voeg je een extra beveiligingslaag toe aan je WordPress-website. Een ander beveiligingsmechanisme dat je zou moeten overwegen, is het inschakelen van geplande malware-scans .
Mogelijke problemen en probleemoplossing
De website laadt niet en geeft fouten weer. Dit betekent meestal dat je een typefout hebt gemaakt in de mapnaam. Controleer zorgvuldig de definities die je hebt toegevoegd aan wp-config.php, het volledige pad en de URL die je hebt opgegeven. Je moet het pad en de URL van je website opgeven. Kopieer deze niet uit het bovenstaande voorbeeld en probeer de pluginmap niet te hernoemen of het wp-config.php-bestand te bewerken vanuit het WordPress-dashboard.
Sommige functies werken niet meer. Het kan zijn dat er een slecht ontworpen of verouderde plugin op uw website is geïnstalleerd. Het beste wat u kunt doen, is deze verwijderen. Er zijn geen excuses voor slechte pluginontwikkeling. Een pluginontwikkelaar moet zich houden aan de WordPress-codeerstandaarden.
Hoe herstel ik de standaardnaam van de plug-inmap?
- Verwijder alle regels met de instructies WP_PLUGIN_DIR en WP_PLUGIN_URL uit het bestand wp-config.php.
- De standaardnaam van de map waarin WordPress-plugins zich bevinden is 'plugins' , dus hernoem de pluginmap terug naar 'plugins'.
Volgende stappen om de beveiliging van je WordPress-website te versterken.
Hoe je WordPress veilig opnieuw installeert
Exportprestaties optimaliseren
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.