Uzyskaj ochronę WordPress: zmień nazwę folderu wtyczek
English version: Get WordPress protected: rename the plugins folder
Nadanie folderowi wtyczek nowej nazwy jest jednym z najbardziej niedocenianych sposobów na wzmocnienie ochrony WordPress. A jednak jest to bezpłatne i łatwe.
Dlaczego to ważne i jak to działa
Według naszych badań w Cerber Lab większość ataków hakerskich i prób wykorzystania luk w zabezpieczeniach wtyczek zakłada, że wszystkie wtyczki WordPress znajdują się w domyślnym folderze dla wszystkich wtyczek, czyli /wp-content/plugins/ . Na szczęście nazwę tego folderu można łatwo zmienić na dowolną w dosłownie dwóch prostych krokach. Czy to oznacza, że cyberprzestępcy mają zerową wiedzę na temat możliwości zmiany nazwy folderu i ślepego ataku na domyślną lokalizację wtyczki? Nie, nie zawsze, ale zdecydowana większość witryn opartych na WordPress używa domyślnej struktury folderów i dlatego cyberprzestępcy z łatwością wykorzystują tę słabość.
Z naszych analiz wynika, że większość witryn jest atakowana przez hakerów, wykorzystując lukę w przestarzałej wtyczce, a w większości przypadków atakujący wykorzystał lukę w pliku PHP, który znajduje się w domyślnym folderze wtyczek WordPress.
Wskazówka:użyj skanera złośliwego oprogramowania Cerber, aby znaleźć lukę w zainstalowanych wtyczkach .
Jak zmienić nazwę folderu wtyczek WordPress
Przede wszystkim musisz mieć dostęp do plików na swojej stronie za pośrednictwem panelu sterowania hostingu, który zwykle ma menedżera plików. Alternatywnie możesz użyć klienta FTP.
Pierwszym krokiem jest zmiana nazwy istniejącego folderu wtyczek WordPress na dowolną nazwę. Załóżmy, że używamy nazwy modułów . Pamiętaj, że nazwa folderu wtyczek może zawierać wyłącznie znaki ASCII. Po prostu powiedz „używaj tylko liter alfabetu łacińskiego”.
Drugim krokiem jest dodanie dwóch dyrektyw define do pliku wp-config.php , które pomagają WordPressowi rozpoznać i używać nowej nazwy folderu wtyczek. Na tym etapie nie możesz używać wbudowanego edytora plików w panelu administracyjnym WordPress. Użyj edytora plików z panelu sterowania hostingu lub klienta FTP, aby edytować plik wp-config.php. Zobacz przykład poniżej i zanotuj:
- Musisz dodać dyrektywy na początku pliku w następnym wierszu po <?php .
- Musisz użyć pełnej ścieżki do katalogu wtyczek dla WP_PLUGIN_DIR. Wskazówka: Pełną ścieżkę do folderu standardowych wtyczek można znaleźć na stronie administratora Narzędzia/Diagnostyka. Jest pokazany w sekcji System plików w wierszu „Folder wtyczek WordPress”.
- Brak końcowych ukośników.
<?php
define('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
Stała WP_PLUGIN_DIR definiuje pełną ścieżkę bez końcowego ukośnika do folderu wtyczek o zmienionej nazwie .
Stała WP_PLUGIN_URL definiuje adres URL folderu wtyczek o zmienionej nazwie bez końcowego ukośnika.
Po wykonaniu tych dwóch kroków dodajesz dodatkową warstwę bezpieczeństwa do swojego WordPressa. Innym mechanizmem bezpieczeństwa, który warto rozważyć, jest włączenie zaplanowanego skanowania w poszukiwaniu złośliwego oprogramowania .
Możliwe problemy i rozwiązywanie problemów
Witryna nie ładuje się i wyświetla błędy. Zwykle oznacza to, że popełniłeś literówkę w nazwie folderu. Dokładnie sprawdź definicje dodane do pliku wp-config.php, pełną ścieżkę i podany adres URL. Musisz podać ścieżkę i adres URL swojej witryny. Nie kopiuj ich z powyższego przykładu i nie próbuj zmieniać nazwy folderu wtyczek ani edytować pliku wp-config.php z poziomu pulpitu nawigacyjnego WordPress.
Niektóre funkcje przestały działać. Zdarza się, że masz zainstalowaną źle zaprojektowaną lub przestarzałą wtyczkę na stronie. Najlepsze, co możesz zrobić, to się go pozbyć. Nie ma usprawiedliwienia dla słabego rozwoju wtyczek. Twórca wtyczki musi przestrzegać standardów kodowania WordPress.
Jak przywrócić domyślną nazwę folderu wtyczek
- Usuń wszystkie linie z dyrektywami WP_PLUGIN_DIR i WP_PLUGIN_URL z pliku wp-config.php
- Domyślna nazwa folderu, w którym znajdują się wtyczki WordPress, to wtyczki , więc zmień nazwę folderu wtyczek z powrotem na wtyczki
Kolejne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa
WordPressa 5.4.1. Aktualizacja zabezpieczeń naprawia siedem luk XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.