Web安全一直是一个很需要重视的问题。

一个网站，涉及到太多的技术：HTML、CSS、JavaScript、PHP、ASP、FTP、HTTP、SSL、SQL、Linux等等。从前端到后台甚至到服务器系统，每一个都很可能成为黑客攻击的途径。使用成熟的开源建站系统可以很大程度避免这方面的问题，毕竟成熟的开源系统经得起广大程序员的检验，并能以最快的速度处理反馈回来的BUG。例如本站使用的WordPress，发展到现在不知道已经经历了多少风雨的洗礼，系统越来越健全。在加上我对自己WP建站的经验还是有点自信的，做了一些防护措施，大部分攻击都是能扛下来的。

今晚在乌云上看到2014-01-25公开的WordPress暴力破解登陆的漏洞，在开放投稿注册并且后台支持用户名登陆的WordPress架构的网站上，在前台页面批量获取用户名，用弱口令字典暴力破解。一个Python脚本就可以搞定。

不禁觉得，如果没在WordPress原来的基础上做些设置和修改加强安全性的话，一有一个漏洞爆出来就容易跟着沦陷了。

WordPress安全，一般就是避免让他人获得网站后台的管理员权限。

有很多的插件是在登录过程中增加登陆难度或者是避免暴力破解。例如有些插件是增加字母验证码，有些是给一道简单的数学题，有些是限制同一用户登陆的尝试次数。本站就用到以上的两种插件。

还有一些是更改管理员的登录名，这种做法的安全系数相当高。

这些设置只要你的管理员密码不是123456之类的弱口令，一般是很安全的了。

今天，我们来说一说更为安全和隐蔽的方法：把登陆页面都隐藏掉！让别人访问不到你的登陆页面。

可以实现的插件很多，但是我们今天只讲代码实现，将下面的代码添加到当前主题的functions.php文件中：

这样，你的WordPress后台登陆地址就会变成”http://yoursite/wp-login.php?word=press”，不知道的人访问”http://yoursite/wp-login.php”或者”http://yoursite/wp-admin”均会跳转到”http://www.mitgai.net/”

“word”、”press”、”www.mitgai.net”三个值可以自定义成你需要的值；

修改好后，将这个链接保存到一个安全的地方，就万事OK了。

如果本文对您生活或工作产生了积极影响，那我非常高兴。
如果您愿意为文章的内容或想法提供支持，欢迎点击下边的捐赠按钮，资助作者创作更多高价值高品质的内容。