首页 / 技术 / 正文

简单非插件隐藏WordPress后台-防止暴力破解

2015年02月04日 5 条评论 ... 技术

针对前几天出现的对博客进行暴力猜解密码的事件,我花了不少功夫,专门去研究关于网站安全方面的知识。对于类似的暴力破解账号密码的安全事件,从破坏者来讲,第一步要做的就是找到登陆的入口,如果找不到入口,就不用提怎样破解如何破解了,从根本上就阻止了这样一批无聊的对自己的网站下手了。

对于WordPress网站程序来讲,网站管理者和会员登录的入口统一都是 http://你的域名/wp-login.php 。所以如果能把这个页面删除或者修改掉,就能起到保护网站的作用。显然,直接删除这个文件很不妥当,毕竟网站主人还是要正常登录后台的。如果选择修改 wp-login.php 文件名的话,则还需要修改其他 WordPress 的内核相关的文件,否则WordPress的强力纠错功能都会让你轻松访问到后台登陆页面。这样做的弊端也很明显——修改了WordPress的内核文件,对于今后的程序升级什么的都是很麻烦的事情。

好在我们还有其他的方式来解决这个问题,在倡萌的WordPress大学中提供了一段代码,轻松解决了隐藏后台登陆地址的问题。

  1. //保护后台登录
  2. add_action('login_enqueue_scripts','login_protection');
  3. function login_protection(){
  4.     if($_GET['abc'] != 'def')header('Location: http://www.yelook.com/');  
  5. }

如上代码是一个范例,实际使用的时候,可以把第四行中的 if($_GET['abc'] != 'def') 中的“abc”和“def”修改成自定义的字符,然后后面的跳转网址修改成自己的网址。最后把这段代码添加到 function.php 文件中。这样一来,如果你再直接访问 http://你的域名/wp-login.php 的话,浏览器会自动跳转到设置的地址上去。正确的访问后台的地址则变成了

http://你的域名/wp-login.php?abc=def

只有正确输入了两个参数,才能正确的进入后台入口,经过试验,完全可以更变态的将两个参数修改成汉字或者日文,比如说这样

登陆演示页面

是不是很凶残,光是输入就很麻烦了,更别提破解了。不过在设置之前一定要记住登陆参数是什么,为方便起见,最好收藏一下正确的登陆地址。万一忘记了只能去登陆主机后台,找到 function.php 文件查看。

5 条评论

Loading...
  1. stop

    对WordPress不是很了解

    2015-02-4 [回复]
  2. lxl

    :lol: 不错 赞一个

    2015-07-2 [回复]
  3. 小小怪

    哈哈 我写了一篇关于如何找到你后台地址的方法 针对这插件的 没事去看看 http://xx-g.win/?p=54

    2015-10-16 [回复]
    • 有野出没

      好吧,一开始还不信,现在眼见为实了,确实很厉害。。。好好加油,很看好你的。

      2015-10-23 [回复]
  4. Oeasy

    并没用效果 还是正常访问/wp-admin /wp-login.php

    2017-05-7 [回复]

发布评论