使用WordPress
的时候很多人会忽视站点安全问题,后台登录问题是一个比较明显的点,简单的账号和密码让你的网站如同不着片缕的美女,哪天发现美女已惨遭蹂躏就晚了,那我们应该如何做一些防护工作呢?
模糊登录错误提示
WordPress
登录失败默认会提示"无效用户名"或者"密码不正确",其实这样就通过暴力破解的形式穷举到密码。我们要做的是在登录失败的时候给出统一的含糊提示,比如"登录失败!"。
我们在funcitons.php
中加入下面代码,就可以实现该效果。
function login_failed()
{
return '登录失败!';
}
add_filter('login_errors', 'login_failed');
更换登录地址
众所周知wp-login
和wp-admin
是WordPress
的登录页面,不怀好意的人可以直接穷举登录,所以隐藏登录地址是一个可行的保护手段。
我们使用WPS Hide Login
插件可以自定义后台登录地址,它属于轻量级的插件专门用来保护登录地址。
理论上,自定义的登录地址越复杂越安全,但是也不利于记忆,所以如果设置了复杂地址请一定要保存到书签,如何还是找不到,最终的办法就是删除该插件。
限制非法登录尝试
目前看WordPress
是不限制登录尝试次数,这意味着非法用户一旦找到了登录地址是可以暴力破解的,就算非法用户破解不了,但是对服务器的性能和稳定性是有影响的,所以我们需要能够屏蔽非法用户的尝试。
这里需要找到一个功能丰富的插件来加固站点,好处就是省心省事。这里简单提一个All In One WP Security
,它可以自定义登录地址,有暴力破解、防火墙、黑名单管理器等功能。
类似All In One WP Security
的插件还有不少,大家可以体验之后再看哪款插件更适合自己。
版权声明:本文为原创文章,版权归 neo 所有。
本文链接:https://idayer.com/how-to-protect-wordpress-login-page/
本作品采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。
博主,你好像忘了给网站升级https。
捂脸,是故意没做的,服务器性能很一般,之前就没考虑升级到https(实际可能没什么影响,访问量太小了),有空的时候还是会弄下的。