Obtenga WordPress protegido: cambie el nombre de la carpeta de complementos
English version: Get WordPress protected: rename the plugins folder
Darle un nuevo nombre a la carpeta de complementos es una de las formas más subestimadas de fortalecer la protección de WordPress. Y, sin embargo, es gratis y fácil.
Por qué es importante y cómo funciona
Según nuestros estudios en Cerber Lab, la mayoría de los ataques de hackers e intentos de explotar las vulnerabilidades de los complementos suponen que todos los complementos de WordPress están ubicados en la carpeta predeterminada para todos los complementos, que es /wp-content/plugins/ . Afortunadamente, el nombre de esta carpeta se puede cambiar fácilmente a lo que quieras literalmente en dos simples pasos. ¿Significa esto que los ciberdelincuentes no tienen ningún conocimiento sobre la capacidad de cambiar el nombre de la carpeta y atacar ciegamente la ubicación predeterminada del complemento? No, no siempre, pero la gran mayoría de los sitios web con tecnología de WordPress utilizan la estructura de carpetas predeterminada , y es por eso que los ciberdelincuentes explotan esta debilidad con facilidad.
Nuestros análisis muestran que la mayoría de los sitios web son pirateados mediante la explotación de una vulnerabilidad en un complemento desactualizado y, en la mayoría de los casos, el atacante ha utilizado la vulnerabilidad en el archivo PHP que se encuentra en la carpeta predeterminada de complementos de WordPress.
Sugerencia:use el escáner de malware Cerber para encontrar una vulnerabilidad en los complementos instalados .
Cómo cambiar el nombre de la carpeta de complementos de WordPress
En primer lugar, debe tener acceso a los archivos de su sitio web a través del panel de control de su alojamiento, que generalmente tiene un administrador de archivos. Alternativamente, puede usar un cliente FTP.
El primer paso es cambiar el nombre de la carpeta de complementos de WordPress existente a cualquier nombre que desee. Supongamos que usamos el nombre de los módulos . Tenga en cuenta que el nombre de la carpeta de complementos debe contener solo caracteres ASCII. Simplemente ponga "usar solo letras del alfabeto latino".
El segundo paso es agregar dos directivas de definición al archivo wp-config.php que ayudan a WordPress a reconocer y usar el nuevo nombre de la carpeta de complementos. No puede usar un editor de archivos incorporado en el panel de administración de WordPress en este paso. Use un editor de archivos desde el panel de control de su alojamiento o un cliente FTP para editar el archivo wp-config.php. Vea un ejemplo a continuación y tenga en cuenta:
- Debe agregar directivas al comienzo del archivo en la siguiente línea después de <?php .
- Debe usar su ruta completa a su directorio de complementos para WP_PLUGIN_DIR. Sugerencia: puede encontrar la ruta completa a la carpeta de complementos estándar en la página de administración Herramientas / Diagnóstico. Se muestra en la sección Sistema de archivos en la fila "Carpeta de complementos de WordPress".
- Sin barras inclinadas.
<?php
define('WP_PLUGIN_DIR', '/ruta/completa/a/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
La constante WP_PLUGIN_DIR define la ruta completa sin barra diagonal a la carpeta de complementos renombrada .
La constante WP_PLUGIN_URL define la URL sin barra diagonal final de su carpeta de complementos renombrada .
Una vez que haya completado estos dos pasos, agregará una capa de seguridad adicional a su WordPress. Otro mecanismo de seguridad que debe tener en cuenta es habilitar análisis de malware programados .
Posibles problemas y resolución de problemas
El sitio web no carga y muestra errores. Por lo general, significa que cometió un error tipográfico en el nombre de la carpeta. Verifique cuidadosamente las definiciones que agregó a wp-config.php, la ruta completa y la URL que especificó. Tienes que especificar la ruta y la URL de tu sitio web. No los copie del ejemplo anterior y no intente cambiar el nombre de la carpeta del complemento o editar el archivo wp-config.php desde el panel de control de WordPress.
Algunas características dejaron de funcionar. Tiene un complemento mal diseñado o desactualizado instalado en el sitio web. Lo mejor que puedes hacer es deshacerte de él. No hay excusas para un pobre desarrollo de plugins. Un desarrollador de complementos debe obedecer los estándares de codificación de WordPress.
Cómo restaurar el nombre predeterminado de la carpeta de complementos
- Elimina todas las líneas con las directivas WP_PLUGIN_DIR y WP_PLUGIN_URL del archivo wp-config.php
- El nombre predeterminado de la carpeta donde residen los complementos de WordPress es complementos , así que cambie el nombre de la carpeta de complementos a complementos
Próximos pasos que fortalecerán la seguridad de WordPress
Cómo limitar el número de sesiones de usuarios concurrentes en WordPress
WP Cerber Security 8.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.