Security Blog
Security Blog
Posted By Gregory

WordPress beveiligen: hernoem de plugins-map


English version: Get WordPress protected: rename the plugins folder


De plugins-map een nieuwe naam geven is een van de meest onderschatte manieren om je WordPress-beveiliging sterker te maken. En toch is het gratis en eenvoudig.

Waarom het belangrijk is en hoe het werkt

Volgens onze studies bij Cerber Lab gaan de meeste hackeraanvallen en pogingen om kwetsbaarheden van plugins te misbruiken ervan uit dat alle WordPress-plugins zich in de standaardmap voor alle plugins bevinden, namelijk /wp-content/plugins/ . Gelukkig kan de naam van deze map eenvoudig worden gewijzigd in wat u maar wilt, in letterlijk twee eenvoudige stappen. Betekent dit dat cybercriminelen geen kennis hebben van de mogelijkheid om de map te hernoemen en blindelings de standaardlocatie van de plugin aan te vallen? Nee, niet altijd, maar de overgrote meerderheid van de websites die door WordPress worden aangestuurd, gebruiken de standaardmapstructuur , en daarom misbruiken cybercriminelen deze zwakte met gemak.

Uit onze analyses blijkt dat de meeste websites worden gehackt door misbruik te maken van een kwetsbaarheid in een verouderde plug-in. In de meeste gevallen heeft de aanvaller gebruikgemaakt van de kwetsbaarheid in het PHP-bestand dat zich in de standaardmap van WordPress-plug-ins bevindt.

Tip:gebruik de Cerber malware scanner om kwetsbaarheden in geïnstalleerde plug-ins te vinden .

Hoe hernoem je de WordPress plugins-map

Allereerst moet u toegang hebben tot de bestanden op uw website via uw hosting controlepaneel, dat meestal een bestandsbeheerder heeft. U kunt ook een FTP-client gebruiken.

De eerste stap is om de bestaande WordPress plugins-map te hernoemen naar een naam die u wilt. Laten we aannemen dat we de modulenaam gebruiken. Let op dat de naam van de plugins-map alleen ASCII-tekens mag bevatten. Zet er gewoon "gebruik alleen letters uit het Latijnse alfabet".

De tweede stap is het toevoegen van twee define directives aan het wp-config.php bestand die WordPress helpen de nieuwe naam van de plugins map te herkennen en te gebruiken. U mag in deze stap geen ingebouwde bestandseditor gebruiken in het WordPress admin dashboard. Gebruik een bestandseditor vanuit uw hosting control panel of een FTP client om het wp-config.php bestand te bewerken. Zie een voorbeeld hieronder en let op:

  • U moet richtlijnen toevoegen aan het begin van het bestand op de volgende regel na <?php .
  • U moet uw volledige pad naar uw plugins directory gebruiken voor WP_PLUGIN_DIR. Tip: U kunt het volledige pad naar de standaard plugins folder vinden op de Tools / Diagnostic admin pagina. Het wordt getoond in de Filesystem sectie in de "WordPress plugins folder" rij.
  • Geen schuine strepen aan het einde.

 <?php

define('WP_PLUGIN_DIR', '/volledig/pad/naar/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

De constante WP_PLUGIN_DIR definieert het volledige pad naar de hernoemde plugins-map, zonder afsluitende slash.

De constante WP_PLUGIN_URL definieert de URL zonder afsluitende slash van uw hernoemde plugins-map.

Zodra u deze twee stappen hebt voltooid, voegt u een extra beveiligingslaag toe aan uw WordPress. Een ander beveiligingsmechanisme dat u zou moeten overwegen, is het inschakelen van geplande malwarescans .

Mogelijke problemen en probleemoplossing

De website laadt niet en geeft fouten weer. Dit betekent meestal dat u een typefout hebt gemaakt in de mapnaam. Controleer zorgvuldig de definities die u hebt toegevoegd aan wp-config.php, het volledige pad en de URL die u hebt opgegeven. U moet het pad en de URL van uw website opgeven. Kopieer ze niet uit het bovenstaande voorbeeld en probeer niet de pluginmap te hernoemen of het wp-config.php-bestand te bewerken vanuit het WordPress-dashboard.

Sommige functies werken niet meer. U hebt toevallig een slecht ontworpen of verouderde plugin op de website geïnstalleerd. Het beste wat u kunt doen is deze te verwijderen. Er zijn geen excuses voor slechte plugin-ontwikkeling. Een plugin-ontwikkelaar moet zich houden aan de WordPress-coderingsnormen.

Hoe de standaardnaam van de plugins-map te herstellen

  1. Verwijder alle regels met de richtlijnen WP_PLUGIN_DIR en WP_PLUGIN_URL uit het bestand wp-config.php
  2. De standaardnaam van de map waarin WordPress-plug-ins zich bevinden, is plugins. Hernoem de plugin-map daarom terug naar plugins.

Volgende stappen die uw WordPress-beveiliging zullen versterken


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments