WordPress 登陆保护

Web安全一直是一个很需要重视的问题。

一个网站,涉及到太多的技术:HTML、CSS、JavaScript、PHP、ASP、FTP、HTTP、SSL、SQL、Linux等等。从前端到后台甚至到服务器系统,每一个都很可能成为黑客攻击的途径。使用成熟的开源建站系统可以很大程度避免这方面的问题,毕竟成熟的开源系统经得起广大程序员的检验,并能以最快的速度处理反馈回来的BUG。例如本站使用的WordPress,发展到现在不知道已经经历了多少风雨的洗礼,系统越来越健全。在加上我对自己WP建站的经验还是有点自信的,做了一些防护措施,大部分攻击都是能扛下来的。

今晚在乌云上看到2014-01-25公开的WordPress暴力破解登陆的漏洞,在开放投稿注册并且后台支持用户名登陆的WordPress架构的网站上,在前台页面批量获取用户名,用弱口令字典暴力破解。一个Python脚本就可以搞定。

不禁觉得,如果没在WordPress原来的基础上做些设置和修改加强安全性的话,一有一个漏洞爆出来就容易跟着沦陷了。

WordPress安全,一般就是避免让他人获得网站后台的管理员权限。

有很多的插件是在登录过程中增加登陆难度或者是避免暴力破解。例如有些插件是增加字母验证码,有些是给一道简单的数学题,有些是限制同一用户登陆的尝试次数。本站就用到以上的两种插件。

还有一些是更改管理员的登录名,这种做法的安全系数相当高。

这些设置只要你的管理员密码不是123456之类的弱口令,一般是很安全的了。

今天,我们来说一说更为安全和隐蔽的方法:把登陆页面都隐藏掉!让别人访问不到你的登陆页面。

可以实现的插件很多,但是我们今天只讲代码实现,将下面的代码添加到当前主题的functions.php文件中:

这样,你的WordPress后台登陆地址就会变成”http://yoursite/wp-login.php?word=press”,不知道的人访问”http://yoursite/wp-login.php”或者”http://yoursite/wp-admin”均会跳转到”http://www.mitgai.net/”

“word”、”press”、”www.mitgai.net”三个值可以自定义成你需要的值;

修改好后,将这个链接保存到一个安全的地方,就万事OK了。

如无注明,均为原创。转载请注明: 转载自MITGAI`S THINKING
本文链接地址: WordPress 登陆保护

知识共享许可协议本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

如果本文对您生活或工作产生了积极影响,那我非常高兴。
如果您愿意为文章的内容或想法提供支持,欢迎点击下边的捐赠按钮,资助作者创作更多高价值高品质的内容。
支付宝捐赠
anyShare分享到:

By Tony Su on 三月 16, 2014 · Posted in WordPress

Be the first to post a comment.