WordPress是一套使用范围极广的内容管理系统(CMS),每天都有一些好事者扫描着别人网站后台。本文大致介绍增强后台安全的做法。
一、修改WordPress后台登陆地址
(1)修改后台入口地址
把原入口地址wp-login.php文件名修改为你想要的地址,如abc.php;打开abc.php,把里面的“wp-login.php”替换为“abc.php”。
|
1 2 3 4 |
# mv wp-login.php abc.php #vim abc.php 然后vim里输入如下一次性替换 :1,$s/wp-login.php/abc.php/g |
(2)修改wp-includes/general-template.php
打开general-template.php,把“wp-login.php”替换为“abc.php”,此文件共有5处“wp-login.php”,全部替换即可。
二、配置登录页面、后台强制HTTPS加密
(1)方法一:手动修改代码
配置这一项的前提是你已经在Nginx/Apache配置好SSL。配置好后我们可以在登录后台页面和后台是使用HTTPS协议。
设置方法如下:
打开wp-config.php,找到如下行:
…
require_once(ABSPATH . ‘wp-settings.php’);
在上面的代码之前加上如下代码:
/**登录时使用SSL**/
define(‘FORCE_SSL_LOGIN’, true);
/**后台管理也使用SSL**/
define(‘FORCE_SSL_ADMIN’, true);
(2)方法二:使用插件
WordPress HTTPS是个不错的插件,除了能实现在登录后台页面和后台是使用HTTPS协议的功能外,还能自定义某个页面或文章使用HTTPS协议。可惜自定义后台登录地址后再使用这个插件会导致登录错误。
(3)使用Nginx、Apache文件夹加密功能。这里不展开陈述。
三、使用插件增强登录页面安全性
Stealth Login Page可以自定义识别码;Google Captcha可以使用谷歌验证码,据我所知,谷歌验证码是最难被机器识别的,有时候连人都难以识别。
四、个性化更改WordPress后台登录页面logo图标及地址
(1)修改wordpress后台登录页面的logo图标
方法1:把wp-admin/images下的w-logo-blue.png更换为自己的即可
方法2:在functions.php修改,具体步骤如下:
在所使用的主题目录下 functions.php 文件添加如下以下代码:
|
1 2 3 4 5 6 |
function custom_loginlogo() { echo '<style type="text/css"> h1 a {background-image: url('.get_bloginfo('template_directory').'/images/login_logo.png) !important; } </style>'; } add_action('login_head', 'custom_loginlogo'); |
添加好代码之后,将名为logo-login.png的logo文件上传到根目录下的images目录内。登录页面默认logo宽度不应该超过320px。
(2)修改后台登录页面的logo图标链接地址
修改logo连接地址同样也很简单,也是修改你所使用的主题目录中的fonctions.php文件,如果没有该文件,新建一个即可。打开该文件,将如下代码复制到其中:
|
1 2 3 4 |
function custom_loginlogo_url($url) { return 'http://yourdomain.com'; } add_filter( 'login_headerurl', 'custom_loginlogo_url' ); |
注意:yourdomain.com就是自己的网址。