Security Blog
Security Blog
Posted By Gregory

Uzyskaj ochronę WordPress: zmień nazwę folderu wtyczek


English version: Get WordPress protected: rename the plugins folder


Nadanie folderowi wtyczek nowej nazwy jest jednym z najbardziej niedocenianych sposobów wzmocnienia ochrony WordPressa. A mimo to jest to bezpłatne i łatwe.

Dlaczego to ma znaczenie i jak to działa

Według naszych badań przeprowadzonych w Cerber Lab większość ataków hakerskich i prób wykorzystania luk w wtyczkach zakłada, że wszystkie wtyczki WordPress znajdują się w domyślnym folderze wszystkich wtyczek, czyli /wp-content/plugins/ . Na szczęście nazwę tego folderu można łatwo zmienić na dowolną, w dosłownie dwóch prostych krokach. Czy to oznacza, że cyberprzestępcy mają zerową wiedzę na temat możliwości zmiany nazwy folderu i ślepego ataku na domyślną lokalizację wtyczki? Nie, nie zawsze, ale zdecydowana większość witryn internetowych opartych na WordPressie korzysta z domyślnej struktury folderów i dlatego cyberprzestępcy z łatwością wykorzystują tę słabość.

Z naszych analiz wynika, że ataki hakerów na większość stron internetowych polegają na wykorzystaniu luki w nieaktualnej wtyczce, a w większości przypadków osoba atakująca wykorzystuje lukę w pliku PHP, który znajduje się w domyślnym folderze wtyczek WordPress.

Wskazówka:użyj skanera złośliwego oprogramowania Cerber, aby znaleźć lukę w zainstalowanych wtyczkach .

Jak zmienić nazwę folderu wtyczek WordPress

Przede wszystkim musisz mieć dostęp do plików na swojej stronie internetowej poprzez panel sterowania hostingu, który zazwyczaj posiada menedżera plików. Alternatywnie możesz użyć klienta FTP.

Pierwszym krokiem jest zmiana nazwy istniejącego folderu wtyczek WordPress na dowolną nazwę. Załóżmy, że używamy nazwy modułów . Pamiętaj, że nazwa folderu wtyczek może zawierać wyłącznie znaki ASCII. Mówiąc najprościej: „używaj tylko liter alfabetu łacińskiego”.

Drugim krokiem jest dodanie dwóch dyrektyw definiujących do pliku wp-config.php , które pomogą WordPressowi rozpoznać i używać nowej nazwy folderu wtyczek. Na tym etapie nie możesz używać wbudowanego edytora plików w panelu administracyjnym WordPress. Użyj edytora plików z poziomu panelu sterowania hostingu lub klienta FTP, aby edytować plik wp-config.php. Zobacz przykład poniżej i zwróć uwagę:

  • Musisz dodać dyrektywy na początku pliku w następnej linii po <?php .
  • Musisz użyć pełnej ścieżki do katalogu wtyczek dla WP_PLUGIN_DIR. Wskazówka: pełną ścieżkę do folderu standardowych wtyczek można znaleźć na stronie administracyjnej Narzędzia/Diagnostyka. Jest on pokazany w sekcji System plików, w wierszu „Folder wtyczek WordPress”.
  • Żadnych końcowych ukośników.

 <?php

zdefiniuj('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
zdefiniuj('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

Stała WP_PLUGIN_DIR definiuje pełną ścieżkę bez końcowego ukośnika do folderu wtyczek o zmienionej nazwie .

Stała WP_PLUGIN_URL definiuje adres URL folderu wtyczek o zmienionej nazwie bez końcowego ukośnika.

Po wykonaniu tych dwóch kroków dodasz dodatkową warstwę zabezpieczeń do swojego WordPressa. Innym mechanizmem bezpieczeństwa, który warto rozważyć, jest włączenie zaplanowanego skanowania w poszukiwaniu złośliwego oprogramowania .

Możliwe problemy i rozwiązywanie problemów

Strona nie ładuje się i wyświetla błędy. Zwykle oznacza to, że popełniłeś literówkę w nazwie folderu. Dokładnie sprawdź definicje dodane do wp-config.php, pełną ścieżkę i podany adres URL. Musisz podać ścieżkę i adres URL swojej witryny. Nie kopiuj ich z powyższego przykładu i nie próbuj zmieniać nazwy folderu wtyczki ani edytować pliku wp-config.php z poziomu panelu WordPress.

Niektóre funkcje przestały działać. Zdarza się, że masz na stronie zainstalowaną źle zaprojektowaną lub przestarzałą wtyczkę. Najlepsze, co możesz zrobić, to się go pozbyć. Nie ma usprawiedliwienia dla złego rozwoju wtyczek. Twórca wtyczek musi przestrzegać standardów kodowania WordPress.

Jak przywrócić domyślną nazwę folderu wtyczek

  1. Usuń wszystkie linie z dyrektywami WP_PLUGIN_DIR i WP_PLUGIN_URL z pliku wp-config.php
  2. Domyślna nazwa folderu, w którym znajdują się wtyczki WordPress, to wtyczki , więc zmień nazwę folderu wtyczek z powrotem na wtyczki

Kolejne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim
Cancel Reply