扫码咨询与免费使用
WordPress用户都知道,新建的Wordpress 后台登录地址yourdo ** in.com/wp-login.php也就是说,我们只需要识别使用的网站Wordpress如果构建了,可以直接添加到这个网站域名的后面wp-login.php(或使用 wp-admin)打开本网站的登录页面。这意味着我想让你Wordpress网站上的黑客可以很容易地找到你的网站登录页面,然后根据你的经验或你已经掌握的其他账户的登录信息,通过撞击库来黑你的网站。
我是在WordPress网站建成后,默认登录页面地址立即修改。最近在查看网站后台的404日志时,发现日志中的404记录大部分来自 wp-login.php,如下图所示,网站前台没有打开注册登录或提交等功能,因此普通用户不可能直接打开 wp-login.php 这个页面意味着这个新推出的小网站已经被一些别有用心的人盯上了。(以下404日志由wordpress SEO插件 Rank Math 提供)
因此,要保护我们的Wordpress网站,至少要做的一件事就是修改默认登录页面地址。
有很多方法可以实现,包括修改主题文件 functions.php 代码,修改网站根目录 .htaccess ,还有各种各样的Wordpress插件。对于普通用户,我建议使用插件来解决问题。修改代码的操作对于没有经验的朋友来说仍然有很高的风险。也许整个网站都会挂断,每次都会挂断wordpress更新或主题更新需要您重新修改代码,这也是一个不必要的麻烦。
修改Wordpress网站默认登录地址的插件很多,直接在后台插件 – 安装插件页面搜索login url你可以找到很多可以实现这个功能的插件。许多外国文章推荐的插件是WPS Hide Login这个插件的特点是功能和设置都很简单。
我在用的是“All in One WP Security & Firewall”中文为“WP与前者相比,修改网站的登录链接地址只是安全WP您可以酌情选择安全提供的非常小的功能。
无论选择哪一个,直接在你身上Wordpress后台搜索“Login URL”或者“WPS Hide Login,你可以找到它们。
假如你用的是如果你用的是WPS Hide Login插件成功安装后,设置- 在常规页面的底部,您可以修改默认登录链接地址Login URL在选项中,直接填写您想要的登录链接地址,如果我填写的是my-new-login-url,我网站的新登录链接地址是 yourdo ** in.com/my-new-login-url。
只要插件插件并设置Login URL的链接地址,则Wordpress登录链接地址 yourdo ** in.com/wp-login.php 自动故障。您可以在下图中显示Redirection URL在选项中,填写 wp-login.php 页面重定向链接地址,留空重定向到网站主页。换句话说,当有人再次打开 时yourdo ** in.com/wp-login.php 页面将自动打开网站的主页,而不是网站的登录页面。
假如你用的是如果你用的是WP安全插件可以在暴力破解页面中重新命名登录页面。单击使用重命名登录页面功能检查选项,然后在登录页面链接文本框中输入您想要设置的选项Wordpress登录链接地址,如 new-login-url,然后保存设置,网站开始使用新的登录链接。
这样,我们就成功地修改了它Wordpress登录页面地址。
启用新的后台登录链接地址后,忘记设置的登录链接地址怎么办?
建议在设置新的登录链接地址后,将链接地址保存到浏览器中。防止遗忘造成不必要的麻烦。
如果你用的是插件 WPS Hide Login”
您需要通过主机或服务器进入MySQL在数据库中找到表whl_page另一种方法是进入主机或服务器的文件管理系统,打开插件文件夹Plugins,然后直接删除文件夹 wps-hide-login然后你您可以使用原始链接地址 yourdo ** in.com/wp-login.php 登录到你的网站后台。登录后台后,您可以重新安装和设置此插件。
假如你用的是插件 WP请参考安全文件https:// ** .tipsandtricks-hq.com/wordpress-security-and-firewall-plugin#advanced_features_note
虽然我已经修改了Wordpress默认登录链接地址,但并不意味着其他人找不到登录页面,如下图所示,是我的小站最近试图登录网站背景,但登录日志失败,从使用Username可以看出,黑客在使用网站前台显示的文章作者的名如Conway,网站Author链接地址的名称如Wai ** o,盲猜网站域名邮箱 如 admin@yourdo ** in.com,info@yourdo ** in.com,conway@yourdo ** in.com,等用户名试着登录我的网站。当然,黑客尝试的用户名在系统中并不存在。
在Wordpress后台,用户-在我的个人信息页面上,您可以看到您的网站登录用户名信息,如下图所示,例如用户名称Wai ** o尽管我们可以Wordpress网站前台显示的作者名称设置公开显示为昵称,但点击作者名称后,作者链接地址仍将显示用户名信息,如 yourdo ** in.com/author/wai ** o
因此,下一件事是修改用户名的链接地址。我直接在数据库中修改用户名。如果您不熟悉数据库,您可以使用它Wordpress插件,如Edit Author Slug (https://wordpress.org/plugins/edit-author-slug/)修改用户名的默认链接地址,以隐藏您网站的真实用户名。
做好这两点,可以有效高网站的安全性,但无论防盗技术有多强大,都有一天会被打破。因此,在注重技术防盗的同时,也要提高风险意识,最大限度地降低潜在风险。
想了解更多Wordpress请查看歪猫笔记网站的相关知识
扫码咨询与免费使用
申请免费使用