Uzyskaj ochronę WordPressa: zmień nazwę folderu wtyczek
English version: Get WordPress protected: rename the plugins folder
Nadanie folderowi wtyczek nowej nazwy to jeden z najbardziej niedocenianych sposobów na wzmocnienie ochrony WordPressa. A przecież jest to darmowe i proste.
Dlaczego to ważne i jak to działa
Według naszych badań przeprowadzonych w Cerber Lab, większość ataków hakerskich i prób wykorzystania luk w zabezpieczeniach wtyczek zakłada, że wszystkie wtyczki WordPressa znajdują się w domyślnym folderze dla wszystkich wtyczek, czyli /wp-content/plugins/ . Na szczęście nazwę tego folderu można łatwo zmienić w zaledwie dwóch prostych krokach. Czy to oznacza, że cyberprzestępcy nie mają pojęcia o możliwości zmiany nazwy folderu i bezmyślnie atakują domyślną lokalizację wtyczek? Nie, nie zawsze, ale zdecydowana większość stron internetowych opartych na WordPressie korzysta z domyślnej struktury folderów i dlatego cyberprzestępcy z łatwością wykorzystują tę lukę.
Nasze analizy pokazują, że większość ataków na strony internetowe odbywa się poprzez wykorzystanie luki w zabezpieczeniach przestarzałej wtyczki, a w większości przypadków atakujący wykorzystał lukę w zabezpieczeniach pliku PHP, który znajduje się w domyślnym folderze wtyczek WordPress.
Wskazówka:użyj skanera złośliwego oprogramowania Cerber, aby znaleźć lukę w zainstalowanych wtyczkach .
Jak zmienić nazwę folderu wtyczek WordPress
Przede wszystkim musisz mieć dostęp do plików na swojej stronie internetowej za pośrednictwem panelu sterowania hostingiem, który zazwyczaj zawiera menedżera plików. Alternatywnie możesz skorzystać z klienta FTP.
Pierwszym krokiem jest zmiana nazwy istniejącego folderu wtyczek WordPress na dowolną. Załóżmy, że używamy nazwy modułów . Należy pamiętać, że nazwa folderu wtyczek musi zawierać wyłącznie znaki ASCII. Po prostu napisz: „używaj tylko liter alfabetu łacińskiego”.
Drugim krokiem jest dodanie dwóch dyrektyw definiujących do pliku wp-config.php , które pomogą WordPressowi rozpoznać i używać nowej nazwy folderu wtyczek. Na tym etapie nie można korzystać z wbudowanego edytora plików w panelu administracyjnym WordPressa. Aby edytować plik wp-config.php, należy użyć edytora plików w panelu sterowania hostingiem lub klienta FTP. Zobacz poniższy przykład i zanotuj:
- Musisz dodać dyrektywy na początku pliku, w następnym wierszu po <?php .
- Musisz podać pełną ścieżkę do katalogu wtyczek dla WP_PLUGIN_DIR. Wskazówka: Pełną ścieżkę do standardowego folderu wtyczek znajdziesz na stronie administracyjnej Narzędzia / Diagnostyka. Jest ona wyświetlana w sekcji System plików w wierszu „Folder wtyczek WordPress”.
- Bez ukośników na końcu.
<?php
zdefiniuj('WP_PLUGIN_DIR', '/pełna/ścieżka/do/zawartości/wp');
zdefiniuj('URL_WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
Stała WP_PLUGIN_DIR definiuje pełną ścieżkę (bez końcowego ukośnika) do zmienionego folderu wtyczek.
Stała WP_PLUGIN_URL definiuje adres URL bez końcowego ukośnika dla zmienionej nazwy folderu wtyczek.
Po wykonaniu tych dwóch kroków dodasz dodatkową warstwę zabezpieczeń do swojego WordPressa. Innym mechanizmem bezpieczeństwa, który warto rozważyć, jest włączenie zaplanowanego skanowania w poszukiwaniu złośliwego oprogramowania .
Możliwe problemy i rozwiązywanie problemów
Strona się nie ładuje i wyświetla błędy. Zazwyczaj oznacza to literówkę w nazwie folderu. Dokładnie sprawdź definicje dodane do pliku wp-config.php, pełną ścieżkę dostępu oraz podany adres URL. Musisz podać ścieżkę i adres URL swojej witryny. Nie kopiuj ich z powyższego przykładu ani nie próbuj zmieniać nazwy folderu wtyczki ani edytować pliku wp-config.php z poziomu pulpitu WordPressa.
Niektóre funkcje przestały działać. Masz na stronie zainstalowaną źle zaprojektowaną lub przestarzałą wtyczkę. Najlepsze, co możesz zrobić, to się jej pozbyć. Nie ma wymówek dla słabego tworzenia wtyczek. Twórca wtyczek musi przestrzegać standardów kodowania WordPressa.
Jak przywrócić domyślną nazwę folderu wtyczek
- Usuń wszystkie wiersze z dyrektywami WP_PLUGIN_DIR i WP_PLUGIN_URL z pliku wp-config.php
- Domyślna nazwa folderu, w którym znajdują się wtyczki WordPress, to plugins , więc zmień nazwę folderu z wtyczkami z powrotem na plugins
Następne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa
WordPress 5.4.1. Aktualizacja zabezpieczeń naprawia siedem luk XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.