Proteggi WordPress: rinomina la cartella dei plugin
English version: Get WordPress protected: rename the plugins folder
Dare un nuovo nome alla cartella dei plugin è uno dei modi più sottovalutati per rafforzare la protezione di WordPress. Eppure è gratuito e facile.
Perché è importante e come funziona
Secondo i nostri studi presso Cerber Lab , la maggior parte degli attacchi degli hacker e dei tentativi di sfruttare le vulnerabilità dei plug-in presume che tutti i plug-in di WordPress si trovino nella cartella predefinita per tutti i plug-in, che è /wp-content/plugins/ . Fortunatamente, il nome di questa cartella può essere facilmente cambiato in quello che vuoi in due semplici passaggi. Ciò significa che i criminali informatici non hanno alcuna conoscenza della possibilità di rinominare la cartella e attaccare ciecamente la posizione predefinita del plug-in? No, non sempre, ma la stragrande maggioranza dei siti Web basati su WordPress utilizza la struttura di cartelle predefinita ed è per questo che i criminali informatici sfruttano facilmente questa debolezza.
La nostra analisi mostra che la maggior parte dei siti Web viene violata sfruttando una vulnerabilità in un plug-in obsoleto e nella maggior parte dei casi l'attaccante ha utilizzato la vulnerabilità nel file PHP che si trova nella cartella predefinita dei plug-in di WordPress.
Suggerimento:usa lo scanner di malware Cerber per trovare una vulnerabilità nei plugin installati .
Come rinominare la cartella dei plugin di WordPress
Prima di tutto, devi avere accesso ai file sul tuo sito web tramite il pannello di controllo del tuo hosting che di solito ha un file manager. In alternativa, puoi utilizzare un client FTP.
Il primo passo è rinominare la cartella dei plugin di WordPress esistente con qualsiasi nome tu voglia. Supponiamo di utilizzare il nome del modulo . Si noti che il nome della cartella dei plugin deve contenere solo caratteri ASCII. In poche parole "usa solo lettere dell'alfabeto latino".
Il secondo passaggio consiste nell'aggiungere due direttive define al file wp-config.php che aiutano WordPress a riconoscere e utilizzare il nuovo nome della cartella dei plugin. In questo passaggio non puoi utilizzare un editor di file integrato nella dashboard di amministrazione di WordPress. Usa un editor di file all'interno del tuo pannello di controllo di hosting o un client FTP per modificare il file wp-config.php. Guarda un esempio qui sotto e nota:
- Devi aggiungere le direttive all'inizio del file nella riga successiva dopo <?php .
- Devi utilizzare il percorso completo della directory dei plug-in per WP_PLUGIN_DIR. Suggerimento: è possibile trovare il percorso completo della cartella dei plug-in standard nella pagina di amministrazione Strumenti/Diagnostica. È mostrato nella sezione Filesystem nella riga "WordPress plugins folder".
- Nessuna barra finale.
<?php
define('WP_PLUGIN_DIR', '/full/path/to/wp-content/modules');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
La costante WP_PLUGIN_DIR definisce il percorso completo senza barra finale della cartella dei plug-in rinominata .
La costante WP_PLUGIN_URL definisce l'URL senza barra finale della cartella dei plugin rinominata .
Una volta completati questi due passaggi, aggiungi un ulteriore livello di sicurezza al tuo WordPress. Un altro meccanismo di sicurezza da prendere in considerazione è l' abilitazione delle scansioni antimalware pianificate .
Possibili problemi e risoluzione dei problemi
Il sito Web non si carica e mostra errori. Di solito significa che hai commesso un errore di battitura nel nome della cartella. Controlla attentamente le definizioni che hai aggiunto a wp-config.php, il percorso completo e l'URL che hai specificato. Devi specificare il percorso e l'URL del tuo sito web. Non copiarli dall'esempio sopra e non provare a rinominare la cartella del plugin o modificare il file wp-config.php dalla dashboard di WordPress.
Alcune funzionalità hanno smesso di funzionare. Ti capita di avere un plug-in mal progettato o obsoleto installato sul sito web. La cosa migliore che puoi fare è sbarazzartene. Non ci sono scuse per uno sviluppo scadente dei plugin. Uno sviluppatore di plugin deve rispettare gli standard di codifica di WordPress.
Come ripristinare il nome predefinito della cartella dei plugin
- Rimuovi tutte le righe con le direttive WP_PLUGIN_DIR e WP_PLUGIN_URL dal file wp-config.php
- Il nome predefinito della cartella in cui risiedono i plugin di WordPress è plugin , quindi rinomina la cartella del plugin in plugin
Prossimi passaggi che rafforzeranno la sicurezza di WordPress
WP Cerber Security 9.5
WP Cerber Security 9.5.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.