Security Blog
Security Blog
Posted By Gregory

Bescherm WordPress: hernoem de map met plug-ins


English version: Get WordPress protected: rename the plugins folder


Het geven van een nieuwe naam aan de map met plug-ins is een van de meest onderschatte manieren om uw WordPress-bescherming sterker te maken. En toch is het gratis en gemakkelijk.

Waarom het belangrijk is en hoe het werkt

Volgens onze onderzoeken bij Cerber Lab gaan de meeste hackeraanvallen en pogingen om kwetsbaarheden in plug-ins te misbruiken ervan uit dat alle WordPress-plug-ins zich in de standaardmap voor alle plug-ins bevinden, namelijk /wp-content/plugins/ . Gelukkig kan de naam van deze map eenvoudig in letterlijk twee eenvoudige stappen worden gewijzigd in wat u maar wilt. Betekent dit dat cybercriminelen geen enkele kennis hebben over de mogelijkheid om de map te hernoemen en blindelings de standaard plug-inlocatie aan te vallen? Nee, niet altijd, maar de overgrote meerderheid van WordPress-websites gebruikt de standaardmapstructuur , en dat is de reden waarom cybercriminelen deze zwakte gemakkelijk kunnen misbruiken.

Uit onze analyses blijkt dat de meeste websites worden gehackt door misbruik te maken van een kwetsbaarheid in een verouderde plug-in en in de meeste gevallen heeft de aanvaller de kwetsbaarheid gebruikt in het PHP-bestand dat zich in de standaard map met WordPress-plug-ins bevindt.

Tip:gebruik de Cerber-malwarescanner om een kwetsbaarheid in geïnstalleerde plug-ins te vinden .

Hoe de map met WordPress-plug-ins te hernoemen

Allereerst moet u toegang hebben tot de bestanden op uw website via uw hostingcontrolepaneel, dat meestal over een bestandsbeheerder beschikt. Als alternatief kunt u een FTP-client gebruiken.

De eerste stap is het hernoemen van de bestaande map met WordPress-plug-ins naar elke gewenste naam. Laten we aannemen dat we de modulenaam gebruiken. Houd er rekening mee dat de naam van de map met plug-ins alleen ASCII-tekens mag bevatten. Simpel gezegd: gebruik alleen letters uit het Latijnse alfabet.

De tweede stap is het toevoegen van twee definitie-instructies aan het wp-config.php -bestand, waardoor WordPress de nieuwe naam van de map met plug-ins kan herkennen en gebruiken. Bij deze stap mag u geen ingebouwde bestandseditor in het WordPress-beheerdersdashboard gebruiken. Gebruik een bestandseditor vanuit uw hostingcontrolepaneel of een FTP-client om het wp-config.php-bestand te bewerken. Zie hieronder een voorbeeld en let op:

  • Je moet richtlijnen toevoegen aan het begin van het bestand op de volgende regel na <?php .
  • U moet uw volledige pad naar uw plug-insmap gebruiken voor WP_PLUGIN_DIR. Tip: U kunt het volledige pad naar de standaardmap met plug-ins vinden op de beheerderspagina Extra / Diagnostiek. Het wordt weergegeven in de sectie Bestandssysteem in de rij "WordPress-plug-insmap".
  • Geen achterliggende schuine strepen.

 <?php

definiëren('WP_PLUGIN_DIR', '/volledig/pad/naar/wp-content/modules');
definiëren('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

De constante WP_PLUGIN_DIR definieert het volledige pad zonder een slash naar de map met uw hernoemde plug-ins.

De constante WP_PLUGIN_URL definieert de URL zonder de schuine streep van uw hernoemde map met plug-ins.

Nadat u deze twee stappen heeft voltooid, voegt u een extra beveiligingslaag toe aan uw WordPress. Een ander beveiligingsmechanisme waarmee u rekening moet houden, is het inschakelen van geplande malwarescans .

Mogelijke problemen en probleemoplossing

De website laadt niet en vertoont fouten. Dit betekent meestal dat u een typefout heeft gemaakt in de mapnaam. Controleer zorgvuldig de definities die u heeft toegevoegd aan wp-config.php, het volledige pad en de URL die u heeft opgegeven. U moet het pad en de URL van uw website opgeven. Kopieer ze niet uit het bovenstaande voorbeeld en probeer niet de map met plug-ins te hernoemen of het bestand wp-config.php te bewerken vanuit het WordPress-dashboard.

Sommige functies werken niet meer. Het kan gebeuren dat u een slecht ontworpen of verouderde plug-in op de website heeft geïnstalleerd. Het beste wat je kunt doen is er vanaf komen. Er zijn geen excuses voor een slechte ontwikkeling van plug-ins. Een plug-inontwikkelaar moet de coderingsnormen van WordPress naleven.

Hoe u de standaardnaam van de map met plug-ins kunt herstellen

  1. Verwijder alle regels met WP_PLUGIN_DIR en WP_PLUGIN_URL richtlijnen uit het wp-config.php bestand
  2. De standaardnaam van de map waarin WordPress-plug-ins zich bevinden, is plug-ins , dus hernoem de map met plug-ins weer naar plug-ins

Volgende stappen die uw WordPress-beveiliging versterken


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim
Cancel Reply