Security Blog
Security Blog
Posted By Gregory

Proteja o WordPress: renomeie a pasta de plugins


English version: Get WordPress protected: rename the plugins folder


Dar um novo nome à pasta de plugins é uma das maneiras mais subestimadas de fortalecer a proteção do seu WordPress. E ainda é grátis e fácil.

Por que é importante e como funciona

De acordo com nossos estudos no Cerber Lab , a maioria dos ataques de hackers e tentativas de explorar vulnerabilidades de plug-in assumem que todos os plug-ins do WordPress estão localizados na pasta padrão para todos os plug-ins, que é /wp-content/plugins/ . Felizmente, o nome desta pasta pode ser facilmente alterado para o que você quiser em literalmente duas etapas simples. Isso significa que os cibercriminosos não têm conhecimento sobre a capacidade de renomear a pasta e atacar cegamente o local padrão do plug-in? Não, nem sempre, mas a grande maioria dos sites com WordPress usa a estrutura de pastas padrão e é por isso que os cibercriminosos exploram essa fraqueza com facilidade.

Nossas análises mostram que a maioria dos sites é invadida pela exploração de uma vulnerabilidade em um plug-in desatualizado e, na maioria dos casos, o invasor usou a vulnerabilidade no arquivo PHP localizado na pasta padrão de plug-ins do WordPress.

Dica:use o scanner de malware Cerber para encontrar uma vulnerabilidade nos plug-ins instalados .

Como renomear a pasta de plugins do WordPress

Antes de mais nada, você precisa ter acesso aos arquivos do seu site através do painel de controle da sua hospedagem, que geralmente possui um gerenciador de arquivos. Como alternativa, você pode usar um cliente FTP.

O primeiro passo é renomear a pasta de plugins do WordPress existente para qualquer nome que você desejar. Vamos supor que usamos o nome dos módulos . Observe que o nome da pasta de plugins deve conter apenas caracteres ASCII. Basta colocar "use apenas letras do alfabeto latino".

A segunda etapa é adicionar duas diretivas de definição ao arquivo wp-config.php que ajudam o WordPress a reconhecer e usar o novo nome da pasta de plugins. Você não pode usar um editor de arquivos embutido no painel de administração do WordPress nesta etapa. Use um editor de arquivos no painel de controle de sua hospedagem ou um cliente FTP para editar o arquivo wp-config.php. Veja um exemplo abaixo e observe:

  • Você deve adicionar diretivas ao início do arquivo na próxima linha após <?php .
  • Você deve usar o caminho completo para o diretório de plugins para WP_PLUGIN_DIR. Dica: você pode encontrar o caminho completo para a pasta de plug-ins padrão na página de administração Ferramentas/Diagnóstico. Ele é mostrado na seção Sistema de arquivos na linha "Pasta de plugins do WordPress".
  • Sem barras à direita.

 <?php

define('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

A constante WP_PLUGIN_DIR define o caminho completo sem barra à direita para sua pasta de plugins renomeada .

A constante WP_PLUGIN_URL define a URL sem a barra final de sua pasta de plugins renomeada .

Depois de concluir essas duas etapas, você adiciona uma camada de segurança adicional ao seu WordPress. Outro mecanismo de segurança que você deve considerar é habilitar varreduras de malware programadas .

Possíveis problemas e solução de problemas

O site não está carregando e apresentando erros. Geralmente significa que você cometeu um erro de digitação no nome da pasta. Verifique cuidadosamente as definições que você adicionou ao wp-config.php, o caminho completo e a URL que você especificou. Você deve especificar o caminho e a URL do seu site. Não os copie do exemplo acima e não tente renomear a pasta do plug-in ou editar o arquivo wp-config.php no painel do WordPress.

Alguns recursos pararam de funcionar. Acontece que você tem um plug-in mal projetado ou desatualizado instalado no site. A melhor coisa que você pode fazer é se livrar dele. Não há desculpas para o mau desenvolvimento de plugins. Um desenvolvedor de plug-in deve obedecer aos padrões de codificação do WordPress.

Como restaurar o nome padrão da pasta de plugins

  1. Remova todas as linhas com as diretivas WP_PLUGIN_DIR e WP_PLUGIN_URL do arquivo wp-config.php
  2. O nome padrão da pasta onde os plugins do WordPress residem é plugins , então renomeie a pasta do plugin de volta para plugins

Próximas etapas que fortalecerão a segurança do seu WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim
Cancel Reply