Uzyskaj ochronę WordPressa: zmień nazwę folderu wtyczek
English version: Get WordPress protected: rename the plugins folder
Nadanie folderowi wtyczek nowej nazwy jest jednym z najbardziej niedocenianych sposobów na wzmocnienie ochrony WordPressa. A jednak jest to darmowe i łatwe.
Dlaczego to ważne i jak to działa
Według naszych badań w Cerber Lab większość ataków hakerskich i prób wykorzystania luk w zabezpieczeniach wtyczek zakłada, że wszystkie wtyczki WordPress znajdują się w domyślnym folderze dla wszystkich wtyczek, czyli /wp-content/plugins/ . Na szczęście nazwę tego folderu można łatwo zmienić na dowolną w dosłownie dwóch prostych krokach. Czy to oznacza, że cyberprzestępcy nie mają żadnej wiedzy na temat możliwości zmiany nazwy folderu i bezmyślnego atakowania domyślnej lokalizacji wtyczki? Nie, nie zawsze, ale zdecydowana większość witryn opartych na WordPressie używa domyślnej struktury folderów i dlatego cyberprzestępcy z łatwością wykorzystują tę słabość.
Nasze analizy pokazują, że większość stron internetowych zostaje zhakowana poprzez wykorzystanie luki w zabezpieczeniach przestarzałej wtyczki, a w większości przypadków atakujący wykorzystał lukę w zabezpieczeniach pliku PHP, który znajduje się w domyślnym folderze wtyczek WordPress.
Wskazówka:użyj skanera Cerber w celu wykrycia luk w zainstalowanych wtyczkach .
Jak zmienić nazwę folderu wtyczek WordPress
Przede wszystkim musisz mieć dostęp do plików na swojej stronie internetowej za pośrednictwem panelu sterowania hostingiem, który zazwyczaj ma menedżera plików. Alternatywnie możesz użyć klienta FTP.
Pierwszym krokiem jest zmiana nazwy istniejącego folderu wtyczek WordPress na dowolną nazwę. Załóżmy, że używamy nazwy modułów . Należy pamiętać, że nazwa folderu wtyczek musi zawierać wyłącznie znaki ASCII. Po prostu napisz „używaj wyłącznie liter alfabetu łacińskiego”.
Drugim krokiem jest dodanie dwóch dyrektyw define do pliku wp-config.php , które pomagają WordPressowi rozpoznać i używać nowej nazwy folderu wtyczek. Na tym etapie nie możesz używać wbudowanego edytora plików w panelu administracyjnym WordPressa. Użyj edytora plików z poziomu panelu sterowania hostingiem lub klienta FTP, aby edytować plik wp-config.php. Zobacz poniższy przykład i zanotuj:
- Musisz dodać dyrektywy na początku pliku, w następnym wierszu po <?php .
- Musisz użyć pełnej ścieżki do katalogu wtyczek dla WP_PLUGIN_DIR. Wskazówka: Pełną ścieżkę do standardowego folderu wtyczek znajdziesz na stronie administracyjnej Narzędzia/Diagnostyka. Jest ona wyświetlana w sekcji System plików w wierszu „Folder wtyczek WordPress”.
- Bez ukośników na końcu.
<?php
zdefiniuj('WP_PLUGIN_DIR', '/pełna/ścieżka/do/zawartości/wp/modules');
zdefiniuj('URL_WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
Stała WP_PLUGIN_DIR definiuje pełną ścieżkę (bez końcowego ukośnika) do zmienionej nazwy folderu wtyczek.
Stała WP_PLUGIN_URL definiuje adres URL bez ukośnika na końcu zmienionej nazwy folderu wtyczek.
Po wykonaniu tych dwóch kroków dodasz dodatkową warstwę bezpieczeństwa do swojego WordPressa. Innym mechanizmem bezpieczeństwa, który powinieneś rozważyć, jest włączenie zaplanowanych skanów malware .
Możliwe problemy i rozwiązywanie problemów
Strona internetowa nie ładuje się i wyświetla błędy. Zwykle oznacza to, że popełniłeś literówkę w nazwie folderu. Dokładnie sprawdź definicje, które dodałeś do wp-config.php, pełną ścieżkę i adres URL, który określiłeś. Musisz określić ścieżkę i adres URL swojej strony internetowej. Nie kopiuj ich z powyższego przykładu i nie próbuj zmieniać nazwy folderu wtyczki ani edytować pliku wp-config.php z poziomu pulpitu WordPress.
Niektóre funkcje przestały działać. Masz źle zaprojektowaną lub przestarzałą wtyczkę zainstalowaną na stronie. Najlepsze, co możesz zrobić, to się jej pozbyć. Nie ma wymówek dla słabego rozwoju wtyczki. Twórca wtyczki musi przestrzegać standardów kodowania WordPress.
Jak przywrócić domyślną nazwę folderu wtyczek
- Usuń wszystkie wiersze z dyrektywami WP_PLUGIN_DIR i WP_PLUGIN_URL z pliku wp-config.php
- Domyślna nazwa folderu, w którym znajdują się wtyczki WordPress, to plugins , więc zmień nazwę folderu wtyczek z powrotem na plugins
Następne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa
Ostrzeżenie PHP: Nie można modyfikować informacji nagłówka
WP Cerber Security 8.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.