Защитите WordPress: переименуйте папку плагинов.
English version: Get WordPress protected: rename the plugins folder
Переименование папки с плагинами — один из самых недооцененных способов повысить защиту вашего WordPress. И при этом это бесплатно и просто.
Почему это важно и как это работает
Согласно исследованиям Cerber Lab, большинство хакерских атак и попыток использовать уязвимости плагинов предполагают, что все плагины WordPress находятся в папке по умолчанию, которая называется /wp-content/plugins/ . К счастью, название этой папки можно легко изменить на любое желаемое буквально за два простых шага. Означает ли это, что киберпреступники ничего не знают о возможности переименовывать папку и бездумно атаковать местоположение плагинов по умолчанию? Нет, не всегда, но подавляющее большинство веб-сайтов на WordPress используют структуру папок по умолчанию , и именно поэтому киберпреступники легко используют эту уязвимость.
Наша аналитика показывает, что большинство веб-сайтов взламываются с использованием уязвимости в устаревшем плагине, и в большинстве случаев злоумышленник использует уязвимость в PHP-файле, расположенном в папке плагинов WordPress по умолчанию.
Подсказка:используйте сканер вредоносных программ Cerber, чтобы найти уязвимость в установленных плагинах .
Как переименовать папку плагинов WordPress
Прежде всего, вам необходим доступ к файлам вашего сайта через панель управления хостингом, которая обычно включает файловый менеджер. В качестве альтернативы можно использовать FTP-клиент.
Первый шаг — переименовать существующую папку плагинов WordPress в любое желаемое имя. Допустим, мы используем название модуля . Обратите внимание, что имя папки плагинов должно содержать только символы ASCII. Проще говоря, используйте только буквы латинского алфавита.
Второй шаг — добавление двух директив define в файл wp-config.php , которые помогут WordPress распознать и использовать новое имя папки плагинов. На этом этапе нельзя использовать встроенный редактор файлов в административной панели WordPress. Используйте редактор файлов из панели управления хостингом или FTP-клиент для редактирования файла wp-config.php. См. пример ниже и обратите внимание:
- Необходимо добавить директивы в начало файла на следующей строке после <?php .
- Для параметра WP_PLUGIN_DIR необходимо указать полный путь к каталогу ваших плагинов. Подсказка: полный путь к стандартной папке плагинов можно найти на странице администрирования «Инструменты / Диагностика». Он отображается в разделе «Файловая система» в строке «Папка плагинов WordPress».
- Без завершающих косых черт.
<?php
define('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
Константа WP_PLUGIN_DIR определяет полный путь без завершающей косой черты к переименованной папке плагинов.
Константа WP_PLUGIN_URL определяет URL-адрес переименованной папки плагинов без завершающей косой черты.
После выполнения этих двух шагов вы добавляете дополнительный уровень безопасности к своему сайту WordPress. Еще один механизм безопасности, который стоит рассмотреть, — это включение запланированных проверок на наличие вредоносных программ .
Возможные проблемы и способы их устранения
Сайт не загружается и выдает ошибки. Обычно это означает, что вы допустили опечатку в названии папки. Внимательно проверьте добавленные вами определения в файл wp-config.php, полный путь и указанный URL-адрес. Необходимо указать путь и URL-адрес вашего сайта. Не копируйте их из приведенного выше примера и не пытайтесь переименовать папку плагина или редактировать файл wp-config.php из панели управления WordPress.
Некоторые функции перестали работать. Возможно, на вашем сайте установлен плохо разработанный или устаревший плагин. Лучшее, что вы можете сделать, это удалить его. Некачественная разработка плагинов недопустима. Разработчик плагинов обязан соблюдать стандарты кодирования WordPress.
Как восстановить стандартное имя папки плагинов
- Удалите все строки с директивами WP_PLUGIN_DIR и WP_PLUGIN_URL из файла wp-config.php.
- Папка, в которой находятся плагины WordPress, по умолчанию называется plugins , поэтому переименуйте папку plugins обратно в plugins.
Следующие шаги, которые укрепят безопасность вашего WordPress.
Предупреждение PHP: невозможно изменить информацию заголовка
WP Cerber Security 8.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.