通常是使用wp-admin与wp-login来登录后台,如果黑客获取你的用户名信息,就可以暴力破解网站登录密码,那么我们如何防范这种攻击呢?
什么是暴力破解?
暴力破解或称为穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有 10000 种组合,因此最多尝试 10000 次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的范围。
目前网上有以下几种方法,主要原理就是修改网站登录地址,把wp-login.php改为其他名字,从而达到避免攻击的目的,一种方法是手工该代码,另一种方法是使用wordpress插件。
一、修改wp-login.php文件
1、修改WordPress默认登陆文件名wp-login.php
①修改在网站根目录下的wp-login.php文件名为wp-denglu.php(或者其他名字),并将该文件wp-denglu.php中出现的字符wp-login.php全部改为wp-denglu.php;
②修改根目录下的wp-includes/general-template.php文件。
除了下面这段不要修改,大概第238行
- $login_url = site_url('wp-login.php','login');
该文件其他的wp-login.php替换为wp-denglu.php,完成修改后覆盖原文件保存,这样就可以避免黑客知道你的登陆地址!
2、修改主题的funtions.php
如果你觉得上面的仿佛有点繁琐,可以用这个方法,在主题的funtions.php 的最后一个 ?> 前添加以下代码:
- //登录地址变更
- add_action('login_enqueue_scripts','login_protection');
- function login_protection(){
- if($_GET['ni'] != 'hao')header('Location: http://jjsoho.com/');
- }
其中ni、hao和http://jjsoho.com/可随意修改。
添加了上述代码后,我们站点的后台登录地址将会变成http://yoursite/wp-login.php?ni=hao,如果不是这个登录地址将会跳转到http://jjsoho.com/。
PS:地址不对跳转的地址不一定是自己的站点,可以直接跳转到淘宝或其他比较复杂或缓慢的站点,让对方的电脑卡死也是一种不错的选择哦。推荐这种方法,简单有效。
二、插件修改wordpress的wp-login.php地址
如果你不喜欢总是频繁的手工修改代码,也可以通过插件修改wordpress的wp-login.php地址防止黑客攻击。类似功能的wordpress插件挺多的,比如:
1、WPS Hide Login插件
WPS Hide Login是个非常小巧的WordPress插件,通过WPS Hide Login插件可以轻松地修改WordPress后台登录地址,并禁止访问wp-admin目录和wp-login.php页面,该插件不会重命名或修改程序核心文件,停用插件即可恢复原来的登录地址,非常简单易操作。
启用WPS Hide Login后系统会自动跳转到“设置-常规”页面下,你也可以手动进入该页面对插件进行设置,插件的设置十分简单,你只需要在方框中把原来的登录地址改为自己所要设置的字符即可,比如这里插件默认的“login”。设置完成后你便可以通过路径“http://域名/login”访问你的网站后台管理界面了。
注意:如果有使用缓存插件,需要把设置的登陆url添加到不被缓存的页面列表中。
2、Rename wp-login.php插件
和前一个插件设置方法基本一致,自己修改下登录地址的字符并保存即可。
3、Limit Login Attempts插件
在wordpress系统默认情况下,允许无限次的登录尝试,这样是非常不安全的,那样会让密码被暴力破解。Limit Login Attempts 帮我们解决了这个问题,它可以限制登录尝试的次数来防止暴力破解,增强 WordPress 的安全系数。Limit Login Attempts插件对每个IP地址设置了一个登陆次数,如果超过这个次数,就会在一个特定的时间范围内,比如24小时之内,将这个IP地址放入黑名单。这样也有助于减轻云服务器的压力。
以上三款保护wp-login.php登录地址的插件只是掘金网所了解到的,除此之外当然也还有其他安全插件可以起到类似的作用,但是我们只要一款就够用了,至于如何选择大家可以根据自己的喜好。这几款插件都可以在wordpress后台-插件—安装插件,然后搜索获取,都是通过了官方审核的,可以保证安全。
写在最后:
如果WordPress站点启用了加密隐藏WordPress后台登录地址功能的,建议大家将这个登录页面设置为书签,或浏览器首页的常用链接,这样一来就不会忘记这个登录地址了。
整个过程实现起来还是蛮方便的,如果对你有帮助的话,别忘记给我点赞呢。
掘金网建议新手小白们不用太纠结有关技术层面的东西,这些技术自己如果实在无力拿下的话,完全可以付费来给你搞定的,掘金网目前就提供这样的付费技术支持服务《去付费》,花钱不多可以买个保障和安全,有需要的可以联系掘金网。
历史上的今天:
- 2025: 视频号美妆账号怎么运营,视频号美妆类大揭秘(0)
- 2024: 月入4000元起的副业,不限学历,随时可做!(0)
- 2021: 站长和自媒体人收到版权诉讼该怎么办?(0)
