WordPress 的後台登錄頁面為根目錄的 wp-login.php 。所有 WordPress 網站默認都使用這個文件登錄,這造成了一定的風險,因為試圖攻擊網站的人可以很輕易的找到目標。如果禁用這個頁面,就相當於把進入網站後台的大門給關閉,大門都找不到就很容易讓小偷放棄破解我們的網站。
禁用默認登錄表單
想要禁用默認的登錄表單,只需要安裝 Secure Hidden Login 插件。在安裝並啓用插件之後,進入後台的 「設置」→「Secure Hidden Login」 設置插件。
Secure Hidden Login 插件可以禁用默認用來登錄的 wp-login.php 頁面,並在前台生成一個迷你登錄表單。
插件設置選項
插件後台是英文的,這裏我簡答介紹一下各個選項。
Display Style
前台登錄表單開啓按鈕的樣式,有 5 個選項,分別是:
- 顯示在屏幕右上角,一個小鎖頭的圖標
- 顯示在屏幕左上角,一個 WordPress 的圖標
- 顯示在屏幕右下角,一個 「π」 字符
- 顯示在屏幕右上角,一個 「LOGIN」 字符
- 不顯示圖標,只能通過快捷鍵來開啓登錄表單
「Display Style」 設置的 5 個選項
Trigger Login Bar Letter
開啓前台登錄表單的快捷鍵。如果填寫 「L」,則可以在前台通過 Ctrl+L 或者 Alt+L 組合鍵來開啓呼出登錄表單。
Block wp-login.php
是否禁用 wp-login.php 頁面的登錄表單,建議開啓。
警告:如果開啓此選項,請一定要在關閉這個選項之後再卸載插件,否則無法正常訪問 wp-login.php 頁面;如果你已經在開啓此選項的狀態下卸載插件,請參考文末的解決方法。
Redirect to Home page on Logout
是否將登出後的頁面跳轉到首頁。
Button Color
前台登錄表單的按鈕樣式,有兩個按鈕,可以分別選擇。
Update Secure Hidden Login Settings
保存選項。
如何保證 WordPress 的賬號安全
保護賬號不被破解是一個重要的問題。
1 、自己不要使用弱密碼。弱密碼不僅是像 「123456」 、 「mima」 和 「WordPress」 之類立刻就能想到的密碼,即使是手機號也不行,密碼中應該包含字母、數字和符號,不要在所有的地方使用同一個密碼。
建議:密碼中可以使用如 「SSWNSZPYXR」 這些看似複雜無規律實際上有很好記的字符 (世上無難事只怕有心人) 。
2 、利用本文的方法關閉默認的登錄窗口,隱藏破解網站的大門。
3 、限制登錄次數,防止通過不斷嘗試暴力破解。
解禁 wp-login.php 頁面
回到我們之前説的 Secure Hidden Login 插件,如果你在禁用了 wp-login.php 的情況下卸載插件,會造成即使插件卸載了,依然無法通過默認表單登錄的情況。
這時候編輯網站根目錄的 .htaccess 文件,刪除 「# BEGIN Secure Login」 和 「# END Secure Login」 之間的所有內容即可:
