WP ~ 如何防止被登入
WordPress 的登入位址,都是固定的,我們就來偽裝一下多一層防護
要進入WordPress 網站控制後台,是在網址末端輸入 [wp-admin] 或者 [wp-login.php],這是眾所周知的秘密,這就容易造成有心人士想進行暴力登入的路徑。
要隱藏登入頁面其實很簡單,整個修改的過程,就只做2件事,修改 [wp-login.php] 登入檔案名,把檔案本身內所有的 [wp-login.php] 舊檔名都換成新檔名,就這麼簡單,只是改個檔案名而已,這樣還需要用什麼外掛麼 ?
其工作原理是這樣,當你要登入時,會呼叫 [wp-login.php] 這個檔案顯示登入畫面,填完帳號密碼後,會送回給 [wp-login.php] 審核,所以把檔名改了,裡面要回傳畫面的檔名也要改。
現在我們就先把 wp-login.php 檔案名改成,無厘頭的檔名,例如 ~ Xo_$543ykkLtt-Ha%ss.php,這樣就好像多了一層密碼,雖然不是最好的方法,無魚蝦嘛賀。
假如、你想再加強防護力,在改名後的 login 檔案,如 xxx.php
後面再加上一組參數 >> xxx.php?user=xxx ,檔案內原來的 [
wp-login.php ],也都要換成新的檔名 +參數 >> xxx.php?user=xxx
,否則會被踢出來 ...
在檔案最前面 <?php 下面插入以下程式碼 :
<?php
以上程式碼的意思是,假如 user 不等於 xxx 就轉向首頁離開,那3個 xxx
是範例,你可以自己設,最好是無意義 + 大小寫
....,這仿如加了第2道密碼,這樣做並不是只有把密碼加長而已,因為 Key Name
是固定的,破解者若不知道中間固定的字有幾個,全部用程式機器人跑,大概要跑到天荒地老,才會看到登入畫面
....在檔案最前面 <?php 下面插入以下程式碼 :
<?php
$_Pass = isset($_GET["user"]) ? $_GET["user"] : "user";
if($_Pass !='xxx'){ header('Location: ./'); exit();}
if($_Pass !='xxx'){ header('Location: ./'); exit();}
最後建立一個原來登入的檔案上傳,wp-login.php,( 不做也沒關係 )
內容如下 : 隨便你亂轉,要轉到我家也不反對 ~ 你也可以送給心懷不軌的人,一張無限迴圈的網頁。
就這麼簡單,收工了!!
PS : 要登入時記得使用要讓人很難猜的新檔名 >> https://your-Domain-Name.com/xxxx.php?user=xxx
WordPress 有一個可以線上自動更新主題、插件及翻譯,雖然這是一個很方便的功能,但這一項優點有時卻也是缺點,每次登入都會去檢查更新除了速度會被拖慢外,自動在線上做更新是一件很危險的事,很容易造成相容性的問題而造成 WordPress 崩潰,在不知不覺中,不知道怎麼死的,這樣是否該關閉自動更新,值得你深思考慮。
透過修改 wp-config.php 來關閉更新,在檔案的最後一行貼上 >> define('WP_AUTO_UPDATE_CORE', false);
修改後 ~ 在更新畫面就會看到已停用
同樣的你也可以透過修改佈景主題中的 funciton.php 來關閉更新 ,一樣貼在最下面一行 >> add_filter( 'auto_update_core', '__return_false' );
PS : 假如你寫在佈景主題的 funciton.php ,千萬要記得、換了佈景主題就失效了 ~
協助架設 Blogger / 網站 服務
舊 
張貼留言