WordPress beveiligen: hernoem de plugins-map
English version: Get WordPress protected: rename the plugins folder
De plugins-map een nieuwe naam geven is een van de meest onderschatte manieren om je WordPress-beveiliging sterker te maken. En toch is het gratis en eenvoudig.
Waarom het belangrijk is en hoe het werkt
Volgens onze studies bij Cerber Lab gaan de meeste hackeraanvallen en pogingen om kwetsbaarheden van plugins te misbruiken ervan uit dat alle WordPress-plugins zich in de standaardmap voor alle plugins bevinden, namelijk /wp-content/plugins/ . Gelukkig kan de naam van deze map eenvoudig worden gewijzigd in wat u maar wilt, in letterlijk twee eenvoudige stappen. Betekent dit dat cybercriminelen geen kennis hebben van de mogelijkheid om de map te hernoemen en blindelings de standaardlocatie van de plugin aan te vallen? Nee, niet altijd, maar de overgrote meerderheid van de websites die door WordPress worden aangestuurd, gebruiken de standaardmapstructuur , en daarom misbruiken cybercriminelen deze zwakte met gemak.
Uit onze analyses blijkt dat de meeste websites worden gehackt door misbruik te maken van een kwetsbaarheid in een verouderde plug-in. In de meeste gevallen heeft de aanvaller gebruikgemaakt van de kwetsbaarheid in het PHP-bestand dat zich in de standaardmap van WordPress-plug-ins bevindt.
Tip:gebruik de Cerber malware scanner om kwetsbaarheden in geïnstalleerde plug-ins te vinden .
Hoe hernoem je de WordPress plugins-map
Allereerst moet u toegang hebben tot de bestanden op uw website via uw hosting controlepaneel, dat meestal een bestandsbeheerder heeft. U kunt ook een FTP-client gebruiken.
De eerste stap is om de bestaande WordPress plugins-map te hernoemen naar een naam die u wilt. Laten we aannemen dat we de modulenaam gebruiken. Let op dat de naam van de plugins-map alleen ASCII-tekens mag bevatten. Zet er gewoon "gebruik alleen letters uit het Latijnse alfabet".
De tweede stap is het toevoegen van twee define directives aan het wp-config.php bestand die WordPress helpen de nieuwe naam van de plugins map te herkennen en te gebruiken. U mag in deze stap geen ingebouwde bestandseditor gebruiken in het WordPress admin dashboard. Gebruik een bestandseditor vanuit uw hosting control panel of een FTP client om het wp-config.php bestand te bewerken. Zie een voorbeeld hieronder en let op:
- U moet richtlijnen toevoegen aan het begin van het bestand op de volgende regel na <?php .
- U moet uw volledige pad naar uw plugins directory gebruiken voor WP_PLUGIN_DIR. Tip: U kunt het volledige pad naar de standaard plugins folder vinden op de Tools / Diagnostic admin pagina. Het wordt getoond in de Filesystem sectie in de "WordPress plugins folder" rij.
- Geen schuine strepen aan het einde.
<?php
define('WP_PLUGIN_DIR', '/volledig/pad/naar/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
De constante WP_PLUGIN_DIR definieert het volledige pad naar de hernoemde plugins-map, zonder afsluitende slash.
De constante WP_PLUGIN_URL definieert de URL zonder afsluitende slash van uw hernoemde plugins-map.
Zodra u deze twee stappen hebt voltooid, voegt u een extra beveiligingslaag toe aan uw WordPress. Een ander beveiligingsmechanisme dat u zou moeten overwegen, is het inschakelen van geplande malwarescans .
Mogelijke problemen en probleemoplossing
De website laadt niet en geeft fouten weer. Dit betekent meestal dat u een typefout hebt gemaakt in de mapnaam. Controleer zorgvuldig de definities die u hebt toegevoegd aan wp-config.php, het volledige pad en de URL die u hebt opgegeven. U moet het pad en de URL van uw website opgeven. Kopieer ze niet uit het bovenstaande voorbeeld en probeer niet de pluginmap te hernoemen of het wp-config.php-bestand te bewerken vanuit het WordPress-dashboard.
Sommige functies werken niet meer. U hebt toevallig een slecht ontworpen of verouderde plugin op de website geïnstalleerd. Het beste wat u kunt doen is deze te verwijderen. Er zijn geen excuses voor slechte plugin-ontwikkeling. Een plugin-ontwikkelaar moet zich houden aan de WordPress-coderingsnormen.
Hoe de standaardnaam van de plugins-map te herstellen
- Verwijder alle regels met de richtlijnen WP_PLUGIN_DIR en WP_PLUGIN_URL uit het bestand wp-config.php
- De standaardnaam van de map waarin WordPress-plug-ins zich bevinden, is plugins. Hernoem de plugin-map daarom terug naar plugins.
Volgende stappen die uw WordPress-beveiliging zullen versterken
WP Cerber Security 8.0
WP Cerber Security 8.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.