如何保护WordPress登录页面

1. 先说最简单的招数吧，改登录地址。默认的wp-admin和wp-login.php简直就是给黑客开的大门，你得把它藏起来。用个插件比如WPS Hide Login，一行代码都不用写，在设置里填个新路径就好。要是想手动折腾，可以在functions.php里加几行：

add_action('login_enqueue_scripts', 'redirect_login_page');
function redirect_login_page() {
    $new_login_url = 'https://你的网站/秘密路径';
    if ($_SERVER['REQUEST_URI'] == '/wp-login.php') {
        wp_redirect($new_login_url);
        exit();
    }
}

这代码就像给门换个锁眼，虽然不能防撬锁，但至少贼找不到门在哪儿。

2. 密码这事我说烂了。别再用admin当用户名了，WordPress现在安装时都不让用这个，但老网站可能还有。用强密码，大小写数字符号混着来，最好让系统自动生成。再开个两步验证，像Google Authenticator这类插件，登录时得多输个动态码，就算密码漏了也能拦一道。

3. 限制登录尝试很重要。默认情况下黑客能无限次撞库，装个Limit Login Attempts插件，设置失败5次就锁IP半小时。代码层面也能搞，在.htaccess里加：

<Limit POST>
order deny,allow
deny from all
allow from 123.123.123.123
</Limit>

这样只有指定IP能访问登录页，不过对动态IP的用户不太友好，适合固定服务器管理。

4. 隐藏版本信息也是个细节。WordPress默认会在登录页暴露版本号，黑客就知道该用哪个漏洞攻击。在functions.php里加：

   remove_action('wp_head', 'wp_generator');

   这样生成器的meta标签就没了，别小看这种信息，就像别把家门钥匙放在脚垫下面。

5. 最后说说SSL证书。现在Let's Encrypt都有免费的，装上一个，登录时的数据传输就是加密的，避免密码在传输过程中被截获。到后台设置里把网站地址改成https开头，不然换了证书也没用。

这些法子单用哪个都不算完美，但叠在一起就能形成个防护网，起码能让自动化攻击脚本大部分失效。安全就是个过程，没有一劳永逸，定期更新插件和核心才是根本。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。