WordPress用户都知道,新建的WordPress网站默认的后台登录地址为 yourdomain.com/wp-login.php 也就是说,我们只要识别出来某个网站是使用Wordpress搭建的,那么就可以直接在这个网站域名的后面加上 wp-login.php (或者使用 wp-admin)来打开这个网站的登录页面。这也就意味着,想要搞Wordpress的黑客们可以非常轻松的找到你的网站登录页面,然后按照经验或者手里已经掌握的你的其他账户的登录信息,通过撞库的方式黑掉你的网站。
接下来介绍两种方法
方法一:使用插件
- Stealth Login Page
- Protected wp-login
方法二:修改代码
将下面的代码添加到当前主题的 functions.php 文件:
位置:wp-content/themes/插件名/functions.php
add_action('login_enqueue_scripts', function () {
if ((!isset($_GET['master']) || $_GET['master'] !== 'sharespace') && !isset($_GET['action'])) {
header('Location: /');
}
});
默认登录网址: https://yourdomain.com/wp-login.php
修改后网址: https://yourdomain.com/wp-login.php?master=sharespace
文章评论
我用的是另一个插件:WPS Hide Login
@Justin 我推荐使用插件,修改代码比较麻烦且更换和更新主题之后会失效。