如何保护你的WordPress登录页面

使用WordPress的时候很多人会忽视站点安全问题，后台登录问题是一个比较明显的点，简单的账号和密码让你的网站如同不着片缕的美女，哪天发现美女已惨遭蹂躏就晚了，那我们应该如何做一些防护工作呢？

模糊登录错误提示

WordPress登录失败默认会提示"无效用户名"或者"密码不正确"，其实这样就通过暴力破解的形式穷举到密码。我们要做的是在登录失败的时候给出统一的含糊提示，比如"登录失败！"。

我们在funcitons.php中加入下面代码，就可以实现该效果。

function login_failed()
{
    return '登录失败！';
}

add_filter('login_errors', 'login_failed');

众所周知wp-login和wp-admin是WordPress的登录页面，不怀好意的人可以直接穷举登录，所以隐藏登录地址是一个可行的保护手段。

我们使用WPS Hide Login插件可以自定义后台登录地址，它属于轻量级的插件专门用来保护登录地址。

理论上，自定义的登录地址越复杂越安全，但是也不利于记忆，所以如果设置了复杂地址请一定要保存到书签，如何还是找不到，最终的办法就是删除该插件。

目前看WordPress是不限制登录尝试次数，这意味着非法用户一旦找到了登录地址是可以暴力破解的，就算非法用户破解不了，但是对服务器的性能和稳定性是有影响的，所以我们需要能够屏蔽非法用户的尝试。

这里需要找到一个功能丰富的插件来加固站点，好处就是省心省事。这里简单提一个All In One WP Security，它可以自定义登录地址，有暴力破解、防火墙、黑名单管理器等功能。

类似All In One WP Security的插件还有不少，大家可以体验之后再看哪款插件更适合自己。

版权声明：本文为原创文章，版权归 neo 所有。
本文链接：https://idayer.com/how-to-protect-wordpress-login-page/

本作品采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。