前阵子为了加强网站安全管理,对wordpress后台登陆地址增加参数以达到隐藏的目的,详情请看《修改WordPress后台登陆地址和隐藏用户名》,那时候本以为这样就可以安枕无忧了。
可惜好景不长,还是经常收到有人暴力破解我的用户名和密码的邮件,虽然收到的邮件比以前少了很多,但是还是不安全。我一直都不明白我设置的参数挺偏僻的,怎么还是能找到我的登陆地址?百思不得其解之下,只能直接把后台登陆地址修改成更偏僻的地址,就算每次wordpress版本更新都要修改一次也在所不惜。
根据申会斌博客《WordPress,zblog,dede后台登陆路径修改方法》得知,想要把wp-login.php修改成abc.php的话,只需要把wp-login.php和wp-includes/general-template.php中含有的wp-login.php修改成abc.php即可,其他文件中虽然也含有wp-login.php,但是修不修改成abc.php影响不大,最起码到目前为止我都还没有遇到问题。
wp-login.php修改成abc.php的步骤:
1、修改wp-login.php
首先把wp-login.php文件名修改为abc.php,然后打开abc.php,直接用查找代替功能,在查找目标中输入:wp-login.php,替换为输入:abc.php,然后点击全部替换即可。根据我的修改,此文件共有14个wp-login.php需要替换为abc.php。
2、修改wp-includes/general-template.php
首先打开general-template.php,其次用查找代替功能,在查找目标中输入:wp-login.php,替换为输入:abc.php,然后逐一点击替换按钮进行替换,当查找到350行(各个版本可能行数不一样)的$login_url = site_url(‘wp-login.php’, ‘login’);时,不用点击替换,其他能找到的都要替换掉。根据我的修改,此文件共有5个wp-login.php,但是需要替换为abc.php的只有4个地方。据说如果$login_url = site_url(‘wp-login.php’, ‘login’);这里也替换的话,跟不修改后台登陆地址没啥两样。
3、理论上其他文件中含有wp-login.php也要修改的,不过我没有修改目前也运行正常,所以还不如不修改了。
自从用以上方法成功修改了后台登陆地址后,到目前为止已经过去一段时间了,都没有收到被暴力破解的邮件,说明修改了后台登陆地址还是有成效的。如果大家还在被他人暴力破解密码的话,建议大家按以上方法进行修改(修改前建议备份这两个文件),唯一不足就是每次版本更新后都要重新按以上方法再次操作一遍,不过个人认为wordpress版本更新应该不会很频繁的。