WordPress 的後臺登入頁面為根目錄的 wp-login.php 。所有 WordPress 網站預設都使用這個檔案登入,這造成了一定的風險,因為試圖攻擊網站的人可以很輕易的找到目標。如果停用這個頁面,就相當於把進入網站後臺的大門給關閉,大門都找不到就很容易讓小偷放棄破解我們的網站。
停用預設登入表單
想要停用預設的登入表單,只需要安裝 Secure Hidden Login 外掛。在安裝並啟用外掛之後,進入後臺的 「設定」→「Secure Hidden Login」 設定外掛。
Secure Hidden Login 外掛可以停用預設用來登入的 wp-login.php 頁面,並在前臺生成一個迷你登入表單。
外掛設定選項
外掛後臺是英文的,這裡我簡答介紹一下各個選項。
Display Style
前臺登入表單開啟按鈕的樣式,有 5 個選項,分別是:
- 顯示在螢幕右上角,一個小鎖頭的圖示
- 顯示在螢幕左上角,一個 WordPress 的圖示
- 顯示在螢幕右下角,一個 「π」 字元
- 顯示在螢幕右上角,一個 「LOGIN」 字元
- 不顯示圖示,只能透過快捷鍵來開啟登入表單
「Display Style」 設定的 5 個選項
Trigger Login Bar Letter
開啟前臺登入表單的快捷鍵。如果填寫 「L」,則可以在前臺透過 Ctrl+L 或者 Alt+L 組合鍵來開啟撥出登入表單。
Block wp-login.php
是否停用 wp-login.php 頁面的登入表單,建議開啟。
警告:如果開啟此選項,請一定要在關閉這個選項之後再解除安裝外掛,否則無法正常訪問 wp-login.php 頁面;如果你已經在開啟此選項的狀態下解除安裝外掛,請參考文末的解決方法。
Redirect to Home page on Logout
是否將登出後的頁面跳轉到首頁。
Button Color
前臺登入表單的按鈕樣式,有兩個按鈕,可以分別選擇。
Update Secure Hidden Login Settings
儲存選項。
如何保證 WordPress 的賬號安全
保護賬號不被破解是一個重要的問題。
1 、自己不要使用弱密碼。弱密碼不僅是像 「123456」 、 「mima」 和 「WordPress」 之類立刻就能想到的密碼,即使是手機號也不行,密碼中應該包含字母、數字和符號,不要在所有的地方使用同一個密碼。
建議:密碼中可以使用如 「SSWNSZPYXR」 這些看似複雜無規律實際上有很好記的字元 (世上無難事只怕有心人) 。
2 、利用本文的方法關閉預設的登入視窗,隱藏破解網站的大門。
3 、限制登入次數,防止透過不斷嘗試暴力破解。
解禁 wp-login.php 頁面
回到我們之前說的 Secure Hidden Login 外掛,如果你在停用了 wp-login.php 的情況下解除安裝外掛,會造成即使外掛解除安裝了,依然無法透過預設表單登入的情況。
這時候編輯網站根目錄的 .htaccess 檔案,刪除 「# BEGIN Secure Login」 和 「# END Secure Login」 之間的所有內容即可:
