如何保护你的WordPress登录页面

使用WordPress的时候很多人会忽视站点安全问题,后台登录问题是一个比较明显的点,简单的账号和密码让你的网站如同不着片缕的美女,哪天发现美女已惨遭蹂躏就晚了,那我们应该如何做一些防护工作呢?

模糊登录错误提示

WordPress登录失败默认会提示"无效用户名"或者"密码不正确",其实这样就通过暴力破解的形式穷举到密码。我们要做的是在登录失败的时候给出统一的含糊提示,比如"登录失败!"。

我们在funcitons.php中加入下面代码,就可以实现该效果。

function login_failed()
{
    return '登录失败!';
}

add_filter('login_errors', 'login_failed');

更换登录地址

众所周知wp-loginwp-adminWordPress的登录页面,不怀好意的人可以直接穷举登录,所以隐藏登录地址是一个可行的保护手段。

我们使用WPS Hide Login插件可以自定义后台登录地址,它属于轻量级的插件专门用来保护登录地址。

理论上,自定义的登录地址越复杂越安全,但是也不利于记忆,所以如果设置了复杂地址请一定要保存到书签,如何还是找不到,最终的办法就是删除该插件。

限制非法登录尝试

目前看WordPress是不限制登录尝试次数,这意味着非法用户一旦找到了登录地址是可以暴力破解的,就算非法用户破解不了,但是对服务器的性能和稳定性是有影响的,所以我们需要能够屏蔽非法用户的尝试。

这里需要找到一个功能丰富的插件来加固站点,好处就是省心省事。这里简单提一个All In One WP Security,它可以自定义登录地址,有暴力破解、防火墙、黑名单管理器等功能。

类似All In One WP Security的插件还有不少,大家可以体验之后再看哪款插件更适合自己。

2 条评论

    1. 捂脸,是故意没做的,服务器性能很一般,之前就没考虑升级到https(实际可能没什么影响,访问量太小了),有空的时候还是会弄下的。

      回复