WordPress如何防范暴力攻击

1. WordPress这玩意儿吧，暴力攻击就像有人拿一千把钥匙试你家锁，烦得很。最简单一招就是改登录地址——默认的wp-admin和wp-login.php谁都认识，改个名儿就行。比如在functions.php里塞段代码，把登录链接跳转到“mylogin”之类的路径，攻击者连门在哪儿都找不着：

add_filter('site_url', 'wpb_login_redirect', 10, 3);
function wpb_login_redirect($url, $path, $orig_scheme) {
    if ($path === 'wp-login.php' && !is_user_logged_in()) {
        return home_url('/mylogin/');
    }
    return $url;
}

2. 限制尝试登录次数才是正经，就像输错三次密码就冻结银行卡。装个插件比如Limit Login Attempts Reloaded，自动封禁失败太多次的IP。要是想自己折腾代码，可以用wp_authenticate钩子配合transient记录失败次数，超过阈值就扔个429错误：

add_action('wp_authenticate', 'check_login_attempts');
function check_login_attempts() {
    $ip = $_SERVER['REMOTE_ADDR'];
    $attempts = get_transient($ip . '_login_attempts') ?: 0;
    if ($attempts > 3) {
        header('HTTP/1.1 429 Too Many Requests');
        exit;
    }
}

3. 双重认证（2FA）现在几乎是标配了，相当于除了密码还得验指纹。用Google Authenticator这类插件，用户登录时强制扫二维码填动态码。数据库里存密钥时记得用wp_hash_password加密，别裸奔存明文。

4. 隐藏版本号也算个小技巧——别让黑客知道你在用哪个版本的WordPress。摸清版本就等于知道了有哪些漏洞可用。在functions.php里删掉generator的meta标签：

remove_action('wp_head', 'wp_generator');

5. 最后别忘了定期换密码这种“废话”，但很多人就是懒得做。强制用户每90天改一次密码，用wp_set_password函数配合cron定时任务提醒。安全这事儿啊，就像刷牙，每天顺手做一点比啥都强。

（字数统计：约520字）

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。