WordPress 的后台登录页面为根目录的 wp-login.php 。所有 WordPress 网站默认都使用这个文件登录,这造成了一定的风险,因为试图攻击网站的人可以很轻易的找到目标。如果禁用这个页面,就相当于把进入网站后台的大门给关闭,大门都找不到就很容易让小偷放弃破解我们的网站。
禁用默认登录表单
想要禁用默认的登录表单,只需要安装 Secure Hidden Login 插件。在安装并启用插件之后,进入后台的 「设置」→「Secure Hidden Login」 设置插件。
Secure Hidden Login 插件可以禁用默认用来登录的 wp-login.php 页面,并在前台生成一个迷你登录表单。
插件设置选项
插件后台是英文的,这里我简答介绍一下各个选项。
Display Style
前台登录表单开启按钮的样式,有 5 个选项,分别是:
- 显示在屏幕右上角,一个小锁头的图标
- 显示在屏幕左上角,一个 WordPress 的图标
- 显示在屏幕右下角,一个 「π」 字符
- 显示在屏幕右上角,一个 「LOGIN」 字符
- 不显示图标,只能通过快捷键来开启登录表单
「Display Style」 设置的 5 个选项
Trigger Login Bar Letter
开启前台登录表单的快捷键。如果填写 「L」,则可以在前台通过 Ctrl+L 或者 Alt+L 组合键来开启呼出登录表单。
Block wp-login.php
是否禁用 wp-login.php 页面的登录表单,建议开启。
警告:如果开启此选项,请一定要在关闭这个选项之后再卸载插件,否则无法正常访问 wp-login.php 页面;如果你已经在开启此选项的状态下卸载插件,请参考文末的解决方法。
Redirect to Home page on Logout
是否将登出后的页面跳转到首页。
Button Color
前台登录表单的按钮样式,有两个按钮,可以分别选择。
Update Secure Hidden Login Settings
保存选项。
如何保证 WordPress 的账号安全
保护账号不被破解是一个重要的问题。
1 、自己不要使用弱密码。弱密码不仅是像 「123456」 、 「mima」 和 「WordPress」 之类立刻就能想到的密码,即使是手机号也不行,密码中应该包含字母、数字和符号,不要在所有的地方使用同一个密码。
建议:密码中可以使用如 「SSWNSZPYXR」 这些看似复杂无规律实际上有很好记的字符 (世上无难事只怕有心人) 。
2 、利用本文的方法关闭默认的登录窗口,隐藏破解网站的大门。
3 、限制登录次数,防止通过不断尝试暴力破解。
解禁 wp-login.php 页面
回到我们之前说的 Secure Hidden Login 插件,如果你在禁用了 wp-login.php 的情况下卸载插件,会造成即使插件卸载了,依然无法通过默认表单登录的情况。
这时候编辑网站根目录的 .htaccess 文件,删除 「# BEGIN Secure Login」 和 「# END Secure Login」 之间的所有内容即可:
