问题描述
任何改变 wp-login.php 网址的方法?似乎不安全的是,曾经使用过 Wordpress 的每个人都可以很容易地看到您的网站是否正在使用它,并且直接进入登录页面。
曾经是一个名为 「隐形登录」 的插件,但是没有更新。 (因此我们不愿依靠插件) 。
最佳解决方案
嗨 @David:
如果您正在为自己的网站做这个,那么使用.htaccess 可能是最简单的方法,虽然如果要使其适用于插件可能会变得棘手,因为将有许多不同的微妙配置差异支持。
这里有一些可以帮助的文章并非所有人都直接回答您的问题,但他们都以某种方式解决您的安全问题:
-
隐藏 WordPress WP-Admin 登录页面
-
如何防止对 WordPress wp-login.php 页面的攻击
-
保护你的 WordPress,玩你的.htaccess 文件。
-
如何:从 wp-login.php 更改为登录
-
如何保护 wp-login 和 wp-admin
-
硬化 Wordpress 与 Mod Rewrite 和 htaccess
当然这不是 Apache 和 WordPress 的博客专家,而不是写 AskApache 的人。一定要看看这些:
-
AskApache 密码保护,适用于 WordPress
-
使用 Apache htaccess 教程安全
-
AskApache 上的”WordPress” 标签帖子列表
次佳解决方案
最近我遇到了同样的问题,你是对的,不再支持 Stealth 插件。然而,因为我终于意识到 Stealth 插件是最好的选择,所以我做了一个干净的安装 WordPress 到 Stealth 插件支持的最后版本的 WordPress,以确定插件如何工作。原来,插件正在做的唯一的事情是创建一个.htaccess 文件与一些魔法。 .htaccess 文件将会看起来像这样:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^logout wp-login.php?action=logout&_wpnonce=asdfasdf&stealth_out_key=asdfasdfasdfasdf [L]
RewriteRule ^login wp-login.php?stealth_in_key=asdfasdfasdf&redirect_to=http://example.com/login [R,L]
RewriteRule ^admin wp-admin/?stealth_admin_key=asdfasdfasdfasdf [R,L]
RewriteCond %{HTTP_REFERER} !^http://example.com/wp-admin
RewriteCond %{HTTP_REFERER} !^http://example.com/wp-login.php
RewriteCond %{HTTP_REFERER} !^http://example.com/login
RewriteCond %{HTTP_REFERER} !^http://example.com/admin
RewriteCond %{QUERY_STRING} !^stealth_in_key=asdfasdfasdfasdf
RewriteCond %{QUERY_STRING} !^stealth_out_key=asdfasdfasdfasdfasd
RewriteCond %{QUERY_STRING} !^stealth_reg_key=asdfasdfasdfasdfasdf
RewriteCond %{QUERY_STRING} !^stealth_admin_key=asdfasdfasdfasdfasdf
RewriteRule ^wp-login.php http://example.com [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^wp-login.php http://example.com [R,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
我改变了所有的键到”asdfasdfasdf” 的一些变化 – 显然你需要为自己创建一些秘密密钥。
希望这可以帮助!
参考文献
注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。