問題描述
任何改變 wp-login.php 網址的方法?似乎不安全的是,曾經使用過 Wordpress 的每個人都可以很容易地看到您的網站是否正在使用它,並且直接進入登入頁面。
曾經是一個名為 「隱形登入」 的外掛,但是沒有更新。 (因此我們不願依靠外掛) 。
最佳解決方案
嗨 @David:
如果您正在為自己的網站做這個,那麼使用.htaccess 可能是最簡單的方法,雖然如果要使其適用於外掛可能會變得棘手,因為將有許多不同的微妙配置差異支援。
這裡有一些可以幫助的文章並非所有人都直接回答您的問題,但他們都以某種方式解決您的安全問題:
-
隱藏 WordPress WP-Admin 登入頁面
-
如何防止對 WordPress wp-login.php 頁面的攻擊
-
保護你的 WordPress,玩你的.htaccess 檔案。
-
如何:從 wp-login.php 更改為登入
-
如何保護 wp-login 和 wp-admin
-
硬化 Wordpress 與 Mod Rewrite 和 htaccess
當然這不是 Apache 和 WordPress 的部落格專家,而不是寫 AskApache 的人。一定要看看這些:
-
AskApache 密碼保護,適用於 WordPress
-
使用 Apache htaccess 教程安全
-
AskApache 上的”WordPress” 標籤帖子列表
次佳解決方案
最近我遇到了同樣的問題,你是對的,不再支援 Stealth 外掛。然而,因為我終於意識到 Stealth 外掛是最好的選擇,所以我做了一個乾淨的安裝 WordPress 到 Stealth 外掛支援的最後版本的 WordPress,以確定外掛如何工作。原來,外掛正在做的唯一的事情是建立一個.htaccess 檔案與一些魔法。 .htaccess 檔案將會看起來像這樣:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^logout wp-login.php?action=logout&_wpnonce=asdfasdf&stealth_out_key=asdfasdfasdfasdf [L]
RewriteRule ^login wp-login.php?stealth_in_key=asdfasdfasdf&redirect_to=http://example.com/login [R,L]
RewriteRule ^admin wp-admin/?stealth_admin_key=asdfasdfasdfasdf [R,L]
RewriteCond %{HTTP_REFERER} !^http://example.com/wp-admin
RewriteCond %{HTTP_REFERER} !^http://example.com/wp-login.php
RewriteCond %{HTTP_REFERER} !^http://example.com/login
RewriteCond %{HTTP_REFERER} !^http://example.com/admin
RewriteCond %{QUERY_STRING} !^stealth_in_key=asdfasdfasdfasdf
RewriteCond %{QUERY_STRING} !^stealth_out_key=asdfasdfasdfasdfasd
RewriteCond %{QUERY_STRING} !^stealth_reg_key=asdfasdfasdfasdfasdf
RewriteCond %{QUERY_STRING} !^stealth_admin_key=asdfasdfasdfasdfasdf
RewriteRule ^wp-login.php http://example.com [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^wp-login.php http://example.com [R,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
我改變了所有的鍵到”asdfasdfasdf” 的一些變化 – 顯然你需要為自己建立一些秘密金鑰。
希望這可以幫助!
參考文獻
注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。