Uzyskaj ochronę WordPress: zmień nazwę folderu wtyczek
English version: Get WordPress protected: rename the plugins folder
Nadanie folderowi wtyczek nowej nazwy jest jednym z najbardziej niedocenianych sposobów wzmocnienia ochrony WordPressa. A mimo to jest to bezpłatne i łatwe.
Dlaczego to ma znaczenie i jak to działa
Według naszych badań przeprowadzonych w Cerber Lab większość ataków hakerskich i prób wykorzystania luk w wtyczkach zakłada, że wszystkie wtyczki WordPress znajdują się w domyślnym folderze wszystkich wtyczek, czyli /wp-content/plugins/ . Na szczęście nazwę tego folderu można łatwo zmienić na dowolną, w dosłownie dwóch prostych krokach. Czy to oznacza, że cyberprzestępcy mają zerową wiedzę na temat możliwości zmiany nazwy folderu i ślepego ataku na domyślną lokalizację wtyczki? Nie, nie zawsze, ale zdecydowana większość witryn internetowych opartych na WordPressie korzysta z domyślnej struktury folderów i dlatego cyberprzestępcy z łatwością wykorzystują tę słabość.
Z naszych analiz wynika, że ataki hakerów na większość stron internetowych polegają na wykorzystaniu luki w nieaktualnej wtyczce, a w większości przypadków osoba atakująca wykorzystuje lukę w pliku PHP, który znajduje się w domyślnym folderze wtyczek WordPress.
Wskazówka:użyj skanera złośliwego oprogramowania Cerber, aby znaleźć lukę w zainstalowanych wtyczkach .
Jak zmienić nazwę folderu wtyczek WordPress
Przede wszystkim musisz mieć dostęp do plików na swojej stronie internetowej poprzez panel sterowania hostingu, który zazwyczaj posiada menedżera plików. Alternatywnie możesz użyć klienta FTP.
Pierwszym krokiem jest zmiana nazwy istniejącego folderu wtyczek WordPress na dowolną nazwę. Załóżmy, że używamy nazwy modułów . Pamiętaj, że nazwa folderu wtyczek może zawierać wyłącznie znaki ASCII. Mówiąc najprościej: „używaj tylko liter alfabetu łacińskiego”.
Drugim krokiem jest dodanie dwóch dyrektyw definiujących do pliku wp-config.php , które pomogą WordPressowi rozpoznać i używać nowej nazwy folderu wtyczek. Na tym etapie nie możesz używać wbudowanego edytora plików w panelu administracyjnym WordPress. Użyj edytora plików z poziomu panelu sterowania hostingu lub klienta FTP, aby edytować plik wp-config.php. Zobacz przykład poniżej i zwróć uwagę:
- Musisz dodać dyrektywy na początku pliku w następnej linii po <?php .
- Musisz użyć pełnej ścieżki do katalogu wtyczek dla WP_PLUGIN_DIR. Wskazówka: pełną ścieżkę do folderu standardowych wtyczek można znaleźć na stronie administracyjnej Narzędzia/Diagnostyka. Jest on pokazany w sekcji System plików, w wierszu „Folder wtyczek WordPress”.
- Żadnych końcowych ukośników.
<?php
zdefiniuj('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
zdefiniuj('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
Stała WP_PLUGIN_DIR definiuje pełną ścieżkę bez końcowego ukośnika do folderu wtyczek o zmienionej nazwie .
Stała WP_PLUGIN_URL definiuje adres URL folderu wtyczek o zmienionej nazwie bez końcowego ukośnika.
Po wykonaniu tych dwóch kroków dodasz dodatkową warstwę zabezpieczeń do swojego WordPressa. Innym mechanizmem bezpieczeństwa, który warto rozważyć, jest włączenie zaplanowanego skanowania w poszukiwaniu złośliwego oprogramowania .
Możliwe problemy i rozwiązywanie problemów
Strona nie ładuje się i wyświetla błędy. Zwykle oznacza to, że popełniłeś literówkę w nazwie folderu. Dokładnie sprawdź definicje dodane do wp-config.php, pełną ścieżkę i podany adres URL. Musisz podać ścieżkę i adres URL swojej witryny. Nie kopiuj ich z powyższego przykładu i nie próbuj zmieniać nazwy folderu wtyczki ani edytować pliku wp-config.php z poziomu panelu WordPress.
Niektóre funkcje przestały działać. Zdarza się, że masz na stronie zainstalowaną źle zaprojektowaną lub przestarzałą wtyczkę. Najlepsze, co możesz zrobić, to się go pozbyć. Nie ma usprawiedliwienia dla złego rozwoju wtyczek. Twórca wtyczek musi przestrzegać standardów kodowania WordPress.
Jak przywrócić domyślną nazwę folderu wtyczek
- Usuń wszystkie linie z dyrektywami WP_PLUGIN_DIR i WP_PLUGIN_URL z pliku wp-config.php
- Domyślna nazwa folderu, w którym znajdują się wtyczki WordPress, to wtyczki , więc zmień nazwę folderu wtyczek z powrotem na wtyczki
Kolejne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa
WordPressa 5.4.1. Aktualizacja zabezpieczeń naprawia siedem luk XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.