Security Blog
Security Blog
Posted By Gregory

Obter WordPress protegida: renomear a pasta plugins


English version: Get WordPress protected: rename the plugins folder


Dando à pasta de plugins um novo nome é uma das maneiras mais subestimadas que fortalecem a proteção do seu WordPress. E ainda é grátis e fácil.

Por que é importante e como funciona

De acordo com nossos estudos na Cerber Lab, a maioria dos ataques de hackers e tentativas de explorar vulnerabilidades de plugins assumem que todos os plugins do WordPress estão localizados na pasta padrão para todos os plugins que são / wp-content / plugins / . Felizmente, o nome da pasta pode ser facilmente alterado para o que você quiser em literalmente duas etapas simples. Isso significa que os cibercriminosos não têm conhecimento sobre a capacidade de renomear a pasta e atacar cegamente o local do plugin padrão? Não, nem sempre, mas a grande maioria dos sites com WordPress usa a estrutura de pastas padrão , e é por isso que os cibercriminosos exploram essa vulnerabilidade com facilidade.

Nossa análise mostra que a maioria dos sites é hackeada explorando uma vulnerabilidade em um plug-in desatualizado e, na maioria dos casos, o invasor usou a vulnerabilidade no arquivo PHP localizado na pasta padrão de plug-ins do WordPress.

Dica: use o scanner de malware Cerber para encontrar uma vulnerabilidade nos plugins instalados .

Como renomear a pasta de plugins do WordPress

Primeiro de tudo, você precisa ter acesso aos arquivos em seu site através do painel de controle de hospedagem que geralmente tem um gerenciador de arquivos. Como alternativa, você pode usar um cliente FTP.

O primeiro passo é renomear a pasta plugins para qualquer nome que você quiser. Vamos supor que usamos o nome dos módulos . O nome da pasta deve conter apenas caracteres ASCII. Basta colocar "use apenas letras do alfabeto latino".

A segunda etapa é adicionar duas diretivas de definição ao arquivo wp-config.php que informam ao WordPress que usamos um novo nome para a pasta de plugins. Veja o exemplo abaixo e observe:

  • Você precisa adicionar diretivas ao início do arquivo na próxima linha após <? Php .
  • Não há barras finais.

 <? php 

define ('WP_PLUGIN_DIR', '/ completo / caminho / para / wp-content / modules');
define ('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

A constante WP_PLUGIN_DIR define o caminho completo sem barra para a pasta de plugins renomeados.

A constante WP_PLUGIN_URL define o URL sem barra final da pasta de plugins renomeados.

Depois de concluir essas duas etapas, você adiciona outra barreira de segurança ao seu WordPress. Outro mecanismo de segurança que você deve considerar é ativar as verificações agendadas de malware .

Possíveis problemas e solução de problemas

O site não está carregando. Isso geralmente significa que você fez um erro de digitação no nome da pasta. Verifique cuidadosamente as definições que você adicionou ao wp-config.php, o caminho completo e o URL que você especificou.

Alguns recursos pararam de funcionar. Você tem um plugin mal projetado ou desatualizado instalado no site. A melhor coisa que você pode fazer é se livrar disso. Não há desculpas para o desenvolvimento de plugins ruins. Um desenvolvedor de plug-in deve obedecer aos padrões de codificação do WordPress.

Como restaurar o nome da pasta padrão. Remova todas as linhas com as diretivas WP_PLUGIN_DIR e WP_PLUGIN_URL do arquivo wp-config.php, renomeie a pasta do plugin para plugins .

Próximas etapas para fortalecer sua segurança no WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Jim
Cancel Reply