WordPress如何保护wp-admin

1. WordPress的wp-admin目录就像你家后院的门，默认谁都能敲两下。但咱得加把锁对吧？最简单的一招是改登录地址——别老用/wp-admin进门。用这段代码塞进functions.php里：

add_action('login_init', 'custom_login_redirect');
function custom_login_redirect() {
    if($_GET['secret'] != 'mypassword') {
        wp_redirect(home_url());
        exit();
    }
}

现在只有输入yoursite.com/wp-admin?secret=mypassword才能进后台，黑客扫wp-admin直接吃闭门羹。

2. 双因素认证就像让用户进门还得对暗号。装个插件比如Wordfence，它会强制要求用户登录时输入手机验证码。就算密码泄露了，黑客没你手机照样没戏。这年头谁还只靠密码过日子啊？

3. 限制登录尝试次数特别重要。想象一下有人拿铁锤砸门锁，连砸50次门肯定坏。用代码限制一下：

add_filter('authenticate', 'check_failed_logins', 30, 3);
function check_failed_logins($user, $username, $password) {
    $failed_logins = get_transient('failed_login_'.$username);
    if($failed_logins >= 5) {
        return new WP_Error('too_many_attempts', '锁了1小时，别试了');
    }
}

输错密码5次直接封IP一小时，暴力破解？不存在的。

4. .htaccess文件是门口的保安大爷，加这几行让他硬气点：

   <Files wp-login.php>
   Order Deny,Allow
   Deny from all
   Allow from 192.168.1.100
   </Files>

   只允许特定IP访问登录页面，其他人连登录框都看不见。当然现在人用动态IP多，配合VPN或固定办公网络更靠谱。

5. 最后记得给后台套层SSL加密，就像给通信内容用密文传输。在wp-config.php里加：

   define('FORCE_SSL_ADMIN', true);

   这样就算咖啡厅有人偷听网络流量，看到的也只是乱码。其实WordPress自己也在持续更新补漏洞，但多几层防护总不会错——毕竟谁都不想早上醒来发现网站变成比特币矿机对吧？

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。