修改WordPress外贸网站默认登录地址和用户名链接地址提高网站安全


WordPress用户都知道,新建的Wordpress后台登录地址为 yourdo ** in.com/wp-login.php 也就是说,我们只需要识别使用的网站Wordpress搭建的,然后你可以直接在这个网站域名的后面添加wp-login.php(或者使用 wp-admin)打开本网站的登录页面。这意味着你想做Wordpress网站上的黑客可以很容易地找到你的网站登录页面,然后根据你的经验或你已经掌握的其他账户的登录信息,通过撞击库来黑你的网站。

我是在WordPress网站建成后,默认登录页面地址立即修改。最近在查看网站后台的404日志时,发现日志中的404记录大部分来自 wp-login.php, 如下图所示,网站前台并没有开启注册登录或者投稿等等功能,所以没有登录链接地址,不可能直接打开普通用户 wp-login.php 这个页面,也就是说,这个新推出的小网站已经被一些别有用心的人盯上了。(以下404日志由wordpress SEO插件 Rank Math 提供)

所以,要保护我们Wordpress网站,起码要做的一件事情就是修改默认的登录页面地址。

实现的方法有很多,主题文件有修改 functions.php 修改网站根目录的代码 .htaccess 还有各种各样的Wordpress插件的。对于普通用户,个人建议使用插件来解决问题。修改代码的操作对于没有任何经验的朋友来说还是有很高的风险的,搞不好整个网站就挂掉了,而且每次wordpress更新或主题更新需要您重新修改代码,这也是一个不必要的麻烦。

修改Wordpress网站默认登录地址的插件很多,直接在后台插件 – 安装插件页面搜索login url你可以找到很多可以实现这个功能的插件。许多外国文章推荐的插件是WPS Hide Login这个插件的特点是功能和设置都很简单。

我在用All in One WP Security & Firewall”中文为“WP与前者相比,修改网站的登录链接地址只是安全WP您可以酌情选择安全提供的非常小的功能。

无论选择哪一个,直接在你身上Wordpress后台搜索“Login URL”或者“WPS Hide Login,你可以找到它们。

假如你用的是如果你用的是WPS Hide Login插件成功安装后,设置- 在常规页面的底部,您可以修改默认登录链接地址Login URL在选项中,直接填写您想要的登录链接地址,如果我填写的是my-new-login-url,我网站的新登录链接地址是 yourdo ** in.com/my-new-login-url。

只要插件插件并设置Login URL链接地址,是的Wordpress登录链接地址 yourdo ** in.com/wp-login.php 自动失效。如下图所示,您可以Redirection URL填写选项 wp-login.php 页面重定向链接地址,留空重定向到网站主页。也就是说,当有人再次打开它时, yourdo ** in.com/wp-login.php 网站的主页会自动打开,而不是网站的登录页面。

假如你用的是如果你用的是WP安全插件可以在暴力破解页面中重新命名登录页面。单击使用重命名登录页面功能检查选项,然后在登录页面链接文本框中输入您想要设置的选项Wordpress例如,登录链接地址 new-login-url,然后保存设置,网站开始使用新的登录链接。

这样,我们就成功地修改了它Wordpress登录页面地址。

启用新的后台登录链接地址后,忘记设置的登录链接地址怎么办?

建议在设置新的登录链接地址后,将链接地址保存到浏览器中。防止遗忘造成不必要的麻烦。

假如你用的是插件 “WPS Hide Login”

您需要通过主机或服务器进入MySQL在数据库中找到表whl_page另一种方法是进入主机或服务器的文件管理系统,打开插件文件夹Plugins,然后直接删除文件夹 “wps-hide-login”,然后你可以使用原始链接地址 yourdo ** in.com/wp-login.php 登录到你的网站后台。登录后台后,您可以重新安装和设置此插件。

假如你用的是插件 WP请参考安全文件https:// ** .tipsandtricks-hq.com/wordpress-security-and-firewall-plugin#advanced_features_note

虽然我已经修改了Wordpress默认登录链接地址,但并不意味着其他人找不到登录页面,如下图所示,是我的小站最近试图登录网站背景,但登录日志失败,从使用Username可以看出,黑客在使用网站前台显示的文章作者的名如Conway,网站Author链接地址的名称如Wai ** o,以及盲猜网站域名邮箱 如 admin@yourdo ** in.com, info@yourdo ** in.com, conway@yourdo ** in.com, 等用户名试着登录我的网站。当然,黑客尝试的用户名在系统中并不存在。

在Wordpress后台,用户-我的个人信息页面,您可以看到您的网站登录用户名信息,如下图所示,例如用户名称Wai ** o尽管我们可以Wordpress网站前台显示的作者名称设置公开显示为昵称,但点击作者名称后,作者链接地址仍将显示用户名信息,例如 yourdo ** in.com/author/wai ** o

因此,下一件事就是修改用户名的链接地址。我直接在数据库中修改用户名。如果您不熟悉数据库,您可以使用它Wordpress插件,如Edit Author Slug (https://wordpress.org/plugins/edit-author-slug/)修改用户名的默认链接地址,以隐藏您网站的真实用户名。

做好这两点,可以有效高网站的安全性,但无论防盗技术有多强大,都有一天会被打破。因此,在注重技术防盗的同时,也要提高风险意识,最大限度地降低潜在风险。

想了解更多Wordpress请查看歪猫笔记网站的相关知识

  • 分享:
评论
还没有评论
    发表评论 说点什么