最近WordPress界出了条新闻:博客平台Wordpress网站遭遇大规模暴力破解攻击(原文附后)。看到这条消息,我立马到空间后台查看了下,发现确实是有很多来自wp-login.php的连接请求。与此同时,Jeff 在 某个博客那里获得了一个通过修改WordPress登陆文件名wp-login.php后缀来隐藏登陆界面的方法,分享给大家。
修改WordPress后台登陆地址链接
WordPress 博客默认的登陆链接地址为(http://example.com/wp-login.php),为保证安全,可以修改WordPress登陆文件名wp-login.php后缀,防密码被暴力破解。
方法:
一、修改在网站根目录下的wp-login.php文件名为wp-denglu.php(或者其他名字,以下以此为例),并将该文件wp-denglu.php中出现的字符
wp-login.php全部改为wp-denglu.php;二、查找根目录下的wp-includes/general-template.php文件,除了代码大概第238行
不要修改,该文件其他的字符
wp-login.php替换为wp-denglu.php,注意完成修改后覆盖原文件保存,这样就可以避免黑客知道你的登陆地址!
8.27日更新:经过测试,在最新的WordPress3.6 中可以实现。
插件法:可以安装安全插件 Limit Login Attempts, 安装并启用该插件后不需要做其他特别设置。当连续登陆失败,插件会临时屏蔽登陆 IP 地址。
你好,博主,按照你的方法,我设置成功了,但是现在有个问题是如果输入的不是我自定义的登陆地址比如:www.xxx.com/wp-login.php,我的博客出现的是404页面提示,我如何让其跳转为我的博客主页:www.xxx.com
我就感受到了以admin为登录名的暴力破解攻击。还有就是想问一下,那个文件名按上面的方法修改为wp-denglu.php之后,那个wordpress升级之后会不会把修改的文件覆盖掉啊?。还有就是那个你写的www.devework.com/wordpress-wp-login-securety.html 方法对你的主题不起作用,不管是代码还是插件,我在别的主题试过可以,但在你的主题不起作用。
这个方法的话肯定是会覆盖的,www.devework.com/wordpress-wp-login-securety.html 这个页面对我的主题肯定也能起作用的——只能说你自己的问题了,我这个网站现在就是在用着这个方法。话说,不要动不动就以为是主题的问题好不好?每次都是这样,不会先考虑下是你自己的操作问题??实际上你每次反馈问题到头来是谁的问题?
嗯,现在都不敢改主题了,都是用插件实现的。
修改完成后他居然自动跳转了,就是说输入abc.com/wp-admin,自动跳转到登陆页面,并且链接跳转为abc.com/wp-修改.php
wp3.6.1不成功了?
3.6.2都可以啊
谢谢Jeff啊。在网上看了很多,方法各不相同。试了一些,竟然不管用(也许我水平太差)。Jeff同学的方法,又清楚又有效!非常感谢!!!
支持~~~
看来不是所有人都看得懂你的表达。。。
你表达的不够清楚。
查找根目录下的wp-includes/general-template.php文件,将源码中的wp-login.php替换为修改后的wp-denglu.php,但是要注意代码第238行1
$login_url = site_url(‘wp-login.php’, ‘login’);
不要修改,完成修改后覆盖原文件保存,
是不是除了这一行的不要改,其他地方都可以改?
是啊
哎,咱语文不好, :?: 现在修改了一下,表达应该清楚了吧?
Jeff: 刚才测试了下我的方法,成功修改登录文件名。方法其实非常简单:先修改wp-login.php文件名,打开wp-login.php,直接查找wp-login.php并以修改后的文件名替换全部;然后打开wp-includes/general-template.php,同样需要替换全部的wp-login.php。现在可以用新的登录文件名正常登录了,跟原先一样,只是wp-login.php变成新的文件名了。尽供参考!非常感谢博主的思路。
按博主方法改完后用改过的登录文件名不能登录,此方法不可行啊。
:?: 肯定是你没有看清教程,我试过4、5次都可以,注意步骤二是 “不要修改” 第238行的login。
那管理员登陆那个怎么解决?就是youdominname.com/wp-admin
这个也可以登录啊!而且登陆是管理员!这个可以修改吗?
修改默认登录名为其他,再按上面的方式来。
这个也是可以修改的吗?
可以