Security Blog
Security Blog
Posted By Gregory

Proteja o WordPress: renomeie a pasta de plugins


English version: Get WordPress protected: rename the plugins folder


Dar um novo nome à pasta de plug-ins é uma das maneiras mais subestimadas de fortalecer a proteção do WordPress. E ainda assim é grátis e fácil.

Por que é importante e como funciona

De acordo com nossos estudos no Cerber Lab, a maioria dos ataques de hackers e tentativas de explorar vulnerabilidades de plug-ins assumem que todos os plug-ins do WordPress estão localizados na pasta padrão para todos os plug-ins, que é /wp-content/plugins/ . Felizmente, o nome desta pasta pode ser facilmente alterado para o que você quiser em literalmente duas etapas simples. Isso significa que os cibercriminosos não têm conhecimento sobre a capacidade de renomear a pasta e atacar cegamente o local padrão do plug-in? Não, nem sempre, mas a grande maioria dos sites com WordPress usa a estrutura de pastas padrão e é por isso que os cibercriminosos exploram essa fraqueza com facilidade.

Nossas análises mostram que a maioria dos sites são invadidos pela exploração de uma vulnerabilidade em um plug-in desatualizado e, na maioria dos casos, o invasor usou a vulnerabilidade no arquivo PHP localizado na pasta padrão de plug-ins do WordPress.

Dica:use o scanner de malware Cerber para encontrar uma vulnerabilidade nos plug-ins instalados .

Como renomear a pasta de plug-ins do WordPress

Em primeiro lugar, você precisa ter acesso aos arquivos do seu site através do painel de controle da hospedagem, que geralmente possui um gerenciador de arquivos. Alternativamente, você pode usar um cliente FTP.

A primeira etapa é renomear a pasta de plug-ins existente do WordPress com o nome que você desejar. Vamos supor que usamos o nome dos módulos . Observe que o nome da pasta plugins deve conter apenas caracteres ASCII. Simplificando, "use apenas letras do alfabeto latino".

A segunda etapa é adicionar duas diretivas de definição ao arquivo wp-config.php que ajudam o WordPress a reconhecer e usar o novo nome da pasta de plugins. Você não pode usar um editor de arquivos integrado no painel de administração do WordPress nesta etapa. Use um editor de arquivos no painel de controle de hospedagem ou um cliente FTP para editar o arquivo wp-config.php. Veja um exemplo abaixo e observe:

  • Você deve adicionar diretivas ao início do arquivo na próxima linha após <?php .
  • Você deve usar o caminho completo para o diretório de plugins para WP_PLUGIN_DIR. Dica: você pode encontrar o caminho completo para a pasta de plug-ins padrão na página de administração Ferramentas/Diagnóstico. É mostrado na seção Sistema de arquivos na linha "Pasta de plug-ins do WordPress".
  • Sem barras finais.

 <?php

define('WP_PLUGIN_DIR', '/caminho completo/para/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

A constante WP_PLUGIN_DIR define o caminho completo sem barra final para a pasta de plug-ins renomeada .

A constante WP_PLUGIN_URL define o URL sem a barra final da sua pasta de plug-ins renomeada .

Depois de concluir essas duas etapas, você adiciona uma camada de segurança adicional ao seu WordPress. Outro mecanismo de segurança que você deve considerar é ativar verificações agendadas de malware .

Possíveis problemas e solução de problemas

O site não carrega e apresenta erros. Geralmente significa que você cometeu um erro de digitação no nome da pasta. Verifique cuidadosamente as definições que você adicionou ao wp-config.php, o caminho completo e a URL que você especificou. Você deve especificar o caminho e a URL do seu site. Não os copie do exemplo acima e não tente renomear a pasta do plugin ou editar o arquivo wp-config.php no painel do WordPress.

Alguns recursos pararam de funcionar. Acontece que você tem um plugin mal projetado ou desatualizado instalado no site. A melhor coisa que você pode fazer é se livrar dele. Não há desculpas para o mau desenvolvimento de plugins. Um desenvolvedor de plugins deve obedecer aos padrões de codificação do WordPress.

Como restaurar o nome padrão da pasta de plugins

  1. Remova todas as linhas com as diretivas WP_PLUGIN_DIR e WP_PLUGIN_URL do arquivo wp-config.php
  2. O nome padrão da pasta onde residem os plugins do WordPress é plugins , então renomeie a pasta do plugin de volta para plugins

Próximas etapas que fortalecerão a segurança do WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments