Security Blog
Security Blog
Posted By Gregory

Получите защиту WordPress: переименуйте папку плагинов


English version: Get WordPress protected: rename the plugins folder


Присвоение папке плагинов нового имени — один из самых недооцененных способов усилить защиту WordPress. И все же это бесплатно и легко.

Почему это важно и как это работает

Согласно нашим исследованиям в Cerber Lab , большинство хакерских атак и попыток использовать уязвимости плагинов предполагают, что все плагины WordPress расположены в папке по умолчанию для всех плагинов, которая называется /wp-content/plugins/ . К счастью, имя этой папки можно легко изменить на любое желаемое буквально за два простых шага. Означает ли это, что киберпреступники ничего не знают о возможности переименовать папку и вслепую атаковать расположение плагина по умолчанию? Нет, не всегда, но подавляющее большинство веб-сайтов на WordPress используют структуру папок по умолчанию , поэтому киберпреступники легко используют эту уязвимость.

Наша аналитика показывает, что большинство веб-сайтов взламываются, используя уязвимость в устаревшем плагине, и в большинстве случаев злоумышленник использовал уязвимость в файле PHP, который находится в папке плагинов WordPress по умолчанию.

Подсказка:используйте сканер вредоносных программ Cerber, чтобы найти уязвимость в установленных плагинах .

Как переименовать папку плагинов WordPress

Прежде всего, вам необходимо иметь доступ к файлам на вашем сайте через панель управления хостингом, которая обычно имеет файловый менеджер. Кроме того, вы можете использовать FTP-клиент.

Первый шаг — переименовать существующую папку плагинов WordPress на любое имя, которое вы хотите. Предположим, мы используем имя модуля . Обратите внимание, что имя папки плагинов должно содержать только символы ASCII. Проще говоря «использовать только буквы латинского алфавита».

Второй шаг — добавление двух директив определения в файл wp-config.php , которые помогают WordPress распознавать и использовать новое имя папки плагинов. На этом этапе вы не можете использовать встроенный редактор файлов в панели администратора WordPress. Используйте редактор файлов из панели управления хостингом или FTP-клиент, чтобы отредактировать файл wp-config.php. См. пример ниже и обратите внимание:

  • Вы должны добавить директивы в начало файла на следующей строке после <?php .
  • Вы должны использовать полный путь к каталогу плагинов для WP_PLUGIN_DIR. Подсказка: вы можете найти полный путь к стандартной папке плагинов на странице администрирования Инструменты/Диагностика. Он отображается в разделе «Файловая система» в строке «Папка плагинов WordPress».
  • Без косых черт в конце.

 <?php

определить('WP_PLUGIN_DIR', '/полный/путь/к/wp-content/modules');
определить('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');

Константа WP_PLUGIN_DIR определяет полный путь без косой черты к переименованной папке плагинов.

Константа WP_PLUGIN_URL определяет URL-адрес вашей переименованной папки с плагинами без завершающей косой черты.

Выполнив эти два шага, вы добавите дополнительный уровень безопасности в свой WordPress. Еще один механизм безопасности, который следует учитывать, — это включение планового сканирования на наличие вредоносных программ .

Возможные проблемы и устранение неполадок

Сайт не загружается и показывает ошибки. Обычно это означает, что вы сделали опечатку в имени папки. Внимательно проверьте определения, которые вы добавили в wp-config.php, полный путь и указанный вами URL-адрес. Вы должны указать путь и URL вашего сайта. Не копируйте их из приведенного выше примера и не пытайтесь переименовывать папку плагина или редактировать файл wp-config.php из панели управления WordPress.

Некоторые функции перестали работать. У вас на сайте установлен плохо спроектированный или устаревший плагин. Лучшее, что вы можете сделать, это избавиться от него. Нет оправданий плохой разработке плагинов. Разработчик плагина должен соблюдать стандарты кодирования WordPress.

Как восстановить имя папки плагинов по умолчанию

  1. Удалите все строки с директивами WP_PLUGIN_DIR и WP_PLUGIN_URL из файла wp-config.php
  2. Имя по умолчанию папки, в которой находятся плагины WordPress, — plugins , поэтому переименуйте папку плагинов обратно в plugins .

Следующие шаги, которые укрепят вашу безопасность WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Cancel Reply