大家知道我博客一直使用的是wordpress程序�����,而且主題也是我自己做的ZL-didiao主題,做為博客主�,我們總在擔心我們的博客網站是否安全,同時我也一直再找一個比較好的安全防護方法���。我們一直都以為黑客們不知道我們網站的用戶名�����,就算知道后臺登陸地址也沒事�����,直到今天才發現���,使用WordPress建站的博主們的用戶名都是可見的�����,除非采取了其他措施來保護。大部分博主的后臺路徑都是:http://網站地址/wp-login.php��。
大部分博主的后臺登陸用戶名都可以這樣查看到:http://網站地址/?author=1���,多用戶的可以把1變為2�、3、4���、5等,就可以在地址欄查看到各個用戶名�。知道了后臺登陸地址和用戶名后�,剩下的就是用暴力破解密碼了��,如果沒有任何防護的話�����,成功指數相當高。
為了保障我們的后臺安全����,建議安裝一個Limit Login Attempts插件�����,來限制強行登陸的次數,同時修改后臺登陸地址和隱藏我們的用戶名���。
修改后臺登陸地址:
我在網上找了很多方法�����,大部分就是在所用主題的functions.php文件的?>前面添加以下代碼即可實現。
- add_action(‘login_enqueue_scripts’,’login_protection’);
- function login_protection(){
- if($_GET[‘word‘] != ‘press’)header(‘Location: http:
- }
但經本人測試���,在本地WIN主機測試是成功的,但是上傳到Linux服務器卻發生錯誤:Cannot modify header information�����,據說是因為header()要求太苛刻。
本人覺得既然是header()出錯�����,而且它只是用來跳轉而已�����,何不用JS實現跳轉呢��,于是修改為:
- function login_protection(){
- if($_GET[‘word’] != ‘press’){
- $url = “http:
- echo “
- }
- }
- add_action(‘login_enqueue_scripts’,’login_protection’);
上傳到服務器一測試,果然成功了�,登陸http://網站地址/wp-login.php會直接跳轉到我們指定的頁面����,要登錄必須是http://網站地址/wp-login.php?word=press才行���,而word���、press���、跳轉的頁面都是我們自己設置的���,而且word����、press只有自己知道,大大提高了其安全性����。
隱藏用戶名:
這個也同樣道理,直接將“作者文章列表(?author=1)”跳轉到指定的頁面,這樣就可以做到隱藏用戶名的目的.
同樣在所用主題的functions.php文件的?>前面添加以下代碼:
- add_filter( ‘author_link’, ‘my_author_link’ );
- function my_author_link() {
- return home_url( ‘/’ );
- }
其中home_url( ‘/’ )是跳轉到主頁�,這里也可以設置為指定的頁面,比如grda頁面,可以為home_url( ‘grda’ )�。
安裝了限制強行登錄次數的插件��、修改了后臺登陸的地址和隱藏了用戶名,我相信這個時候的系統應該還是挺安全的。
寫給哪些用wordpress程序做站的朋友們,為了你的網站安全,千萬不要錯過看了!
