Поддержка Проблемы и решения Переименование каталога плагинов как элемент безопасности

  • Решено O

    (@perdyllo)


    Нашел идею связанную в повышением безопасности сайта. Не знаю насколько она нова, но она заключается в переименование каталога плагинов Например в pilugina целью предотвращения доступа злоумышленников к потенциально уязвимым плагинам с добавлением соответствующих директив в конфиг

    define('WP_PLUGIN_DIR', '/full/path/to/wp-content/pilugina');
    define('WP_PLUGIN_URL', 'https://ваш сайт.ru/wp-content/pilugina');

    Проверил это на тестовом сайте. Вроде работает….. Во всяком случае установленные плагины ( у меня их там всего 3 штуки) продолжают работать и вроде как без проблем устанавливаются новые. Но что скажет сообщество и специалисты по этому поводу?

Просмотр 6 ответов — с 1 по 6 (всего 6)
  • в последние годы новые плагины в репо берут только, если в них нет подобного некорректного прописывания пути аля wp-content/plugins. только вот старые плагины (даже если они регулярно обновляются) никто таким проверкам не подвергает и, соответственно, работать они не будут. или будут, но криво.

    смысла в этом нет никакого. Узнать в каком каталоге находятся плагины можно из исходного кода страницы

    Речь, видимо, о ботах, которые не будут анализировать исходный код, чтобы определить директорию плагинов, которая и так известна для WordPress-сайтов.

    Модератор Yui

    (@fierevere)

    永子

    смена локаций по умолчанию помогает от очень тупых и надоедливых ботов, брутфорса паролей
    не помогает — контактные формы на сайте боты все равно находят и «прилипают»

    проблемы возможны с отдельными плагинами, ранее видела с VKontakte API, сейчас глючит JetPack на сайте где WP_HOME не совпадает с WP_SITEURL (не работает моб приложение)

    в целом сам подход смены ради безопасности не оправдан, возможно он защитит вас при 0day, если в плагине внезапно найдут дыру и локацию тут же начнут сканировать по url по умолчанию, выиграете какое-то время. Но полной уверенности, чтобы никогда ничего не обновлять это вам не даст )

    Автор O

    (@perdyllo)

    Нашел идею связанную в повышением безопасности сайта

    Совершенно случайно увидел тот-же совет на сайте плагина Цербер
    https://wpcerber.com/rename-plugins-folder-protect-wordpress/
    Но самое интересное даже не в этом, а в том, что эта конструкция

    define('WP_PLUGIN_DIR', '/full/path/to/wp-content/pilugina');
    define('WP_PLUGIN_URL', 'https://ваш сайт.ru/wp-content/pilugina');

    вчера работала, а сегодня уже нет…. Все плагины отключились. В разделе плагинов написано «Похоже нет ни одного плагина». При установке нового пишет: Невозможно создать директорию».
    Короче откатил все как было. Ерунда всё это, что подтверждают ответы коллег. Всем спасибо за участие!

    Совершенно случайно увидел тот-же совет на сайте плагина Цербер

    Врачи придумывают несущесвующие болячки, продавцы воздуха и гуана — сказки о необходимости их товара, производители ПО «безопасности» — мнимые опасности. Теперь это называется «маркетинг».

Просмотр 6 ответов — с 1 по 6 (всего 6)
  • Тема «Переименование каталога плагинов как элемент безопасности» закрыта для новых ответов.