Proteja o WordPress: renomeie a pasta de plugins.
English version: Get WordPress protected: rename the plugins folder
Renomear a pasta de plugins é uma das maneiras mais subestimadas de fortalecer a proteção do seu WordPress. E o melhor de tudo: é grátis e fácil.
Por que isso é importante e como funciona
De acordo com nossos estudos no Cerber Lab, a maioria dos ataques de hackers e tentativas de explorar vulnerabilidades em plugins parte do pressuposto de que todos os plugins do WordPress estão localizados na pasta padrão, que é /wp-content/plugins/ . Felizmente, o nome dessa pasta pode ser facilmente alterado para qualquer nome em apenas dois passos simples. Isso significa que os cibercriminosos não têm conhecimento algum sobre a possibilidade de renomear a pasta e atacar cegamente a localização padrão dos plugins? Não, nem sempre, mas a grande maioria dos sites WordPress utiliza a estrutura de pastas padrão , e é por isso que os cibercriminosos exploram essa vulnerabilidade com facilidade.
Nossas análises mostram que a maioria dos sites são invadidos explorando uma vulnerabilidade em um plugin desatualizado e, na maioria dos casos, o invasor explorou a vulnerabilidade no arquivo PHP localizado na pasta de plugins padrão do WordPress.
Dica:utilize o scanner de malware Cerber para encontrar vulnerabilidades em plugins instalados .
Como renomear a pasta de plugins do WordPress
Primeiramente, você precisa ter acesso aos arquivos do seu site através do painel de controle da sua hospedagem, que geralmente possui um gerenciador de arquivos. Alternativamente, você pode usar um cliente FTP.
O primeiro passo é renomear a pasta de plugins do WordPress existente para o nome que você desejar. Vamos supor que usaremos o nome "modules ". Observe que o nome da pasta de plugins deve conter apenas caracteres ASCII. Em outras palavras, "use apenas letras do alfabeto latino".
O segundo passo é adicionar duas diretivas `define` ao arquivo `wp-config.php` , que ajudam o WordPress a reconhecer e usar o novo nome da pasta de plugins. Nesta etapa, você não poderá usar o editor de arquivos integrado ao painel de administração do WordPress. Utilize um editor de arquivos do painel de controle da sua hospedagem ou um cliente FTP para editar o arquivo `wp-config.php`. Veja um exemplo abaixo e observe:
- Você precisa adicionar as diretivas no início do arquivo, na linha seguinte a <?php .
- Você precisa usar o caminho completo para o diretório de plugins no campo WP_PLUGIN_DIR. Dica: você pode encontrar o caminho completo para a pasta de plugins padrão na página de administração Ferramentas / Diagnóstico. Ele é exibido na seção Sistema de Arquivos, na linha "Pasta de plugins do WordPress".
- Sem barras invertidas no final.
<?php
define('WP_PLUGIN_DIR', '/caminho/completo/para/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
A constante WP_PLUGIN_DIR define o caminho completo, sem a barra final, para a pasta de plugins renomeada .
A constante WP_PLUGIN_URL define a URL, sem a barra final, da pasta de plugins renomeada .
Após concluir essas duas etapas, você adiciona uma camada extra de segurança ao seu WordPress. Outro mecanismo de segurança que você deve considerar é ativar verificações agendadas de malware .
Possíveis problemas e solução de problemas
O site não está carregando e apresenta erros. Geralmente, isso significa que você digitou o nome da pasta incorretamente. Verifique cuidadosamente as definições adicionadas ao arquivo wp-config.php, o caminho completo e a URL especificada. Você precisa especificar o caminho e a URL do seu site. Não copie do exemplo acima e não tente renomear a pasta do plugin ou editar o arquivo wp-config.php pelo painel do WordPress.
Algumas funcionalidades pararam de funcionar. Você pode ter instalado um plugin mal projetado ou desatualizado no seu site. O melhor a fazer é removê-lo. Não há desculpas para um desenvolvimento de plugin ruim. Um desenvolvedor de plugins deve seguir os padrões de codificação do WordPress.
Como restaurar o nome padrão da pasta de plugins
- Remova todas as linhas com as diretivas WP_PLUGIN_DIR e WP_PLUGIN_URL do arquivo wp-config.php.
- O nome padrão da pasta onde os plugins do WordPress ficam armazenados é "plugins" , então renomeie a pasta de plugins de volta para "plugins".
Próximos passos para fortalecer a segurança do seu WordPress
WordPress 5.4.1. Uma atualização de segurança corrige sete vulnerabilidades XSS.
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.