文章摘要
这篇文章介绍了三种方法来修改WordPress默认的管理登录地址(通常为/wp-login.php或/wp-admin/),以防止暴力破解。主要内容如下:
1. **修改function.php文件**:通过在功能函数中添加验证代码,确保只有访问带有特定参数的URL时才能打开登录页面。
2. **修改wp-login.php文件**:通过重命名文件并替换其中的URL路径,使登录地址指向新的域。
3. **修改.htaccess文件**:通过重写规则和目录重命名,实现对默认管理路径的访问控制。
文章还提到,如果以上方法生效,还可以进一步优化,例如通过重写URL路径和修改相关配置文件,进一步增强安全性。需要注意的是,修改默认地址可能会与某些插件产生冲突,因此在实施过程中需谨慎操作。
默认管理登录地址是 /wp-login.php 或者只需输入/wp-admin/ 这个很容易暴力破解,所以修改下默认管理地址还是很有必要!
方法1: 修改function.php文件
登陆WordPress后台管理,在左侧找到外观-主题编辑器,然后在右侧找到functions.php,在functions.php中添加以下代码:
//修改后台管理地址
function login_protection(){
if($_GET[‘hello’] != ‘333’)header(‘Location: https://yourname.com/’);
}
add_action(‘login_enqueue_scripts’,’login_protection’);
这样只有访问 https://yourname.com/wp-login.php?hello=333,才会打开登录页,否则就会自动跳转到首页。应用的时候请将代码中的’hello’、’333’、https://yourname.com/ 这三个位置换成自己的内容。此方法可能与某些插件冲突不生效。
方法2: 修改wp-login.php文件
在服务器或cPanel面板找到根目录下的wp-login.php,打开并编辑文件,复制所有代码。新建一个文件,命名为:ma-login.php。打开并编辑ma-login.php,粘贴刚才复制的代码,并替换代码中所有 wp-login.php 为 ma-login.php,保存文件。下载保存wp-login.php,避免代码有问题的时候可以恢复。此时管理地址为:https://yourname.com/ma-login.php。
如果以上办法都生效就还可以搞个加强版:在以上两点都修改的情况下,在根目录找到wp-includes文件夹,找到此文件夹下general-template.php文件,打开并编辑此文件。在代码中搜索:$login_url,找到以下代码:
$login_url = site_url( ‘wp-login.php’, ‘login’ );
if ( ! empty( $redirect ) ) {
$login_url = add_query_arg( ‘redirect_to’, urlencode( $redirect ), $login_url );
}
if ( $force_reauth ) {
$login_url = add_query_arg( ‘reauth’, ‘1’, $login_url );
}
将代码替换为:
$login_url = site_url( ‘index.php’, ‘login’ );
/*
if ( ! empty( $redirect ) ) {
$login_url = add_query_arg( ‘redirect_to’, urlencode( $redirect ), $login_url );
}
if ( $force_reauth ) {
$login_url = add_query_arg( ‘reauth’, ‘1’, $login_url );
}
*/
以上代码意思为:在访问wp-admin,或wp-login.php的时候访问网站首页。你也可以将index.php替换成404.php,并注释掉下面的代码避免重定向次数过多。
此时后台登陆地址为:https://yourname.com/ma-login.php?hello=333
方法3: 修改.htaccess文件
首先将wp-admin目录改名,比如改成ad-wp,然后在.htaccess里加上如下内容:
RewriteEngine On RewriteBase / RewriteCond %{REQUEST_URI} wp-admin/ RewriteCond %{QUERY_STRING} !
这里来个复杂字符串(数字英文横杠下划线组成)
RewriteRule .*.php [F,L] RewriteCond %{QUERY_STRING} !
与上面的那个密码相同
RewriteRule ^dawa/(.*) wp-admin/$1?%{QUERY_STRING}&
与上面的那个密码相同
这个.htaccess实现了URL的重写,禁止访问wp-admin下的所有.php文件,访问/ad-wp 的话会直接替换成/wp-admin下的对应文件。也就是说访问/ad-wp与访问wp-admin的结果是一样的,但是访问wp-admin则行不通。
更名完成,但是会有一些问题需要修改部分文件。因为wp-admin被禁止访问,而部分功能还直接调用wp-admin的.php文件。这导致上传功能将不能使用;自动保存,自定义字段都无法使用。
2.下面要做的就是修改几个重要文件,重新恢复这些功能:查找
wp-admin/includes/media.php
wp-includes/script-loader.php
wp-includes/link-template.php
三个文件中所有的wp-admin,换成ad-wp
这样edit链接与comments编辑链接将继续有效。
如果使用了wp-cache等缓存插件,一定要将你的新目录名添加到缓存过滤规则里,不然后台有的地方生成静态会很麻烦的。
