WordPress wp-admin保护

1. 咱们先唠唠wp-admin这玩意儿到底多重要——它就像你家防盗门钥匙，谁都能拿到钥匙的话，屋里那些宝贝主题编辑器、用户数据库啥的可就悬了。去年Sucuri有个报告说，43%的被黑WordPress站点都是通过后台登录页撞库得手的，所以这事儿真不能马虎。

2. 最简单那招就是改登录地址，别老用默认的/wp-admin。扔这段到functions.php里试试：

   add_action('login_init', 'custom_login_url');
   function custom_login_url() {
   if ($_SERVER['REQUEST_URI'] === '/wp-admin/') {
       wp_redirect(home_url('/my-secret-backdoor/'));
       exit();
   }
   }

   这操作相当于把你们小区门牌号给糊上，虽然防不了专业小偷，但能挡掉不少瞎转悠的脚本小子。

3. 接着整两步验证，现在连菜市场扫码支付都要手机确认，咱后台更得这样。装个Two Factor插件固然方便，但自己手搓也不难：

   add_action('wp_login', 'force_2fa_redirect');
   function force_2fa_redirect() {
   if (!isset($_SESSION['2fa_verified'])) {
       wp_redirect('/custom-2fa-check/');
       exit;
   }
   }

   记得在验证页面搞个手机验证码或者邮箱链接验证，这样就算密码漏了还有个防火墙。

4. 限制尝试登录次数是关键操作，你看银行取钱输错三次就锁卡，咱网站也得学这招。不用插件的话，在.htaccess里加这几行：

   <FilesMatch "wp-login\.php">
   Order Deny,Allow
   Deny from all
   Allow from 192.168.1.0/24
   Allow from 203.0.113.45
   </FilesMatch>

   这相当于给登录页面拉了个铁丝网，只放行白名单IP段。当然动态IP的用户可能得换招数，比如用Cloudflare的WAF规则拦暴力破解。

5. 数据库前缀改过没？默认wp_前缀就像在黑客面前裸奔。要是当初安装时没改，现在用这款SQL语句救急：

   RENAME table wp_users TO myprefix_users;
   UPDATE myprefix_usermeta SET meta_key = REPLACE(meta_key, 'wp_', 'myprefix_');

   完事儿记得把wp-config里的$table_prefix变量同步改掉，不然网站就表演原地消失术。

6. 最后整个监控预警，我在functions.php里埋了这个：

   add_action('wp_login_failed', 'log_failed_attempts');
   function log_failed_attempts() {
   $ip = $_SERVER['REMOTE_ADDR'];
   file_put_contents(ABSPATH.'/failed_logins.log', date('Y-m-d H:i:s')." - {$ip}\n", FILE_APPEND);
   if (count(file(ABSPATH.'/failed_logins.log')) > 10) {
       wp_mail('admin@example.com', '爆破警报！', '10分钟内10次失败登录来自IP:'.$ip);
   }
   }

   这会在根目录生成个日志文件，有人疯狂撞库时自动发邮件告警，比守株待兔强点儿。

7. 其实最骚的操作是给wp-admin套层云flare的零信任验证，或者直接搬走后台路径——就像把金库修在公共厕所背后，谁特么能想到？不过这些高级玩法得搭配服务器配置，新手容易把自己锁外边，建议先拿测试站练手。

8. 说到底啊，安全就是个动态过程，没有一劳永逸的银弹。就像你天天换密码但用记事本贴在显示器上，那也白搭。保持WordPress核心更新+定期查毒+服务器日志巡查，比堆砌十层防护罩都管用。毕竟黑客通常挑软柿子捏，你站点安全系数超过80%的网站，基本就脱离新手村了。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。