Bescherm WordPress: hernoem de map met plug-ins
English version: Get WordPress protected: rename the plugins folder
De map met plug-ins een nieuwe naam geven, is een van de meest onderschatte manieren om je WordPress-beveiliging sterker te maken. En toch is het gratis en gemakkelijk.
Waarom het ertoe doet en hoe het werkt
Volgens onze studies bij Cerber Lab gaan de meeste hackeraanvallen en pogingen om kwetsbaarheden in plug-ins uit te buiten ervan uit dat alle WordPress-plug-ins zich in de standaardmap voor alle plug-ins bevinden, namelijk /wp-content/plugins/ . Gelukkig kan de naam van deze map in letterlijk twee eenvoudige stappen eenvoudig worden gewijzigd in wat u maar wilt. Betekent dit dat cybercriminelen geen kennis hebben van de mogelijkheid om de map een andere naam te geven en blindelings de standaard locatie van de plug-in aan te vallen? Nee, niet altijd, maar de overgrote meerderheid van WordPress-websites gebruikt de standaard mappenstructuur en daarom misbruiken cybercriminelen deze zwakte gemakkelijk.
Uit onze analyses blijkt dat de meeste websites worden gehackt door misbruik te maken van een kwetsbaarheid in een verouderde plug-in en in de meeste gevallen heeft de aanvaller de kwetsbaarheid gebruikt in het PHP-bestand dat zich in de standaard WordPress-plug-insmap bevindt.
Tip:gebruik de Cerber-malwarescanner om een kwetsbaarheid in geïnstalleerde plug-ins te vinden .
Hoe de map met WordPress-plug-ins te hernoemen
Allereerst moet u toegang hebben tot de bestanden op uw website via uw hostingcontrolepaneel, dat meestal een bestandsbeheerder heeft. U kunt ook een FTP-client gebruiken.
De eerste stap is om de bestaande map met WordPress-plug-ins te hernoemen naar elke gewenste naam. Laten we aannemen dat we de naam van de module gebruiken. Merk op dat de naam van de map met plug-ins alleen ASCII-tekens mag bevatten. Simpel gezegd "gebruik alleen Latijnse letters van het alfabet".
De tweede stap is het toevoegen van twee definitierichtlijnen aan het bestand wp-config.php die WordPress helpen de nieuwe naam van de map met plug-ins te herkennen en te gebruiken. U mag bij deze stap geen ingebouwde bestandseditor gebruiken in het WordPress-beheerdersdashboard. Gebruik een bestandseditor vanuit uw hostingconfiguratiescherm of een FTP-client om het bestand wp-config.php te bewerken. Zie hieronder een voorbeeld en let op:
- Je moet richtlijnen toevoegen aan het begin van het bestand op de volgende regel na <?php .
- U moet uw volledige pad naar uw map met plug-ins gebruiken voor WP_PLUGIN_DIR. Hint: U kunt het volledige pad naar de map met standaard plug-ins vinden op de beheerderspagina Hulpprogramma's / Diagnostiek. Het wordt weergegeven in het gedeelte Bestandssysteem in de rij "WordPress-plug-insmap".
- Geen schuine strepen.
<?php
define('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
definiëren('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
De constante WP_PLUGIN_DIR definieert het volledige pad zonder schuine streep naar uw map met hernoemde plug-ins.
De constante WP_PLUGIN_URL definieert de URL zonder schuine streep van uw map met hernoemde plug-ins.
Zodra je deze twee stappen hebt doorlopen, voeg je een extra beveiligingslaag toe aan je WordPress. Een ander beveiligingsmechanisme dat u zou moeten overwegen, is het inschakelen van geplande malwarescans .
Mogelijke problemen en probleemoplossing
De website laadt niet en vertoont fouten. Het betekent meestal dat je een typefout hebt gemaakt in de mapnaam. Controleer zorgvuldig de definities die je hebt toegevoegd aan wp-config.php, het volledige pad en de URL die je hebt opgegeven. U moet het pad en de URL van uw website specificeren. Kopieer ze niet uit het bovenstaande voorbeeld en probeer niet de map met plug-ins te hernoemen of het bestand wp-config.php te bewerken vanuit het WordPress-dashboard.
Sommige functies werken niet meer. Je hebt toevallig een slecht ontworpen of verouderde plug-in op de website geïnstalleerd. Het beste wat je kunt doen is er vanaf komen. Er zijn geen excuses voor een slechte ontwikkeling van plug-ins. Een ontwikkelaar van plug-ins moet zich houden aan de coderingsnormen van WordPress.
Hoe de standaardnaam van de map met plug-ins te herstellen
- Verwijder alle regels met de richtlijnen WP_PLUGIN_DIR en WP_PLUGIN_URL uit het bestand wp-config.php
- De standaardnaam van de map waarin WordPress-plug-ins zich bevinden, is plug- ins , dus hernoem de map met plug-ins terug naar plug- ins
Volgende stappen die uw WordPress-beveiliging versterken
WP Cerber Security 8.7
Beheer wachtwoorden voor WordPress-applicaties op een probleemloze manier
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.