纯代码修改 WordPress 后台登录地址

纯代码修改 WordPress 后台登录地址

熟悉这里的朋友都知道,本站遭受木马感染已经很长一段时间了,没有两年也有一年半了……期间我想了各种各样的办法,包括但不限于:重装服务器系统、重装 WordPress、更新控制面板、装防火墙、Waf、防篡改等等,但木马始终没有去干净,本博后台总是会出现莫名其妙的插件/主题!据我测试,它们除了偶尔(极少数时间)弹点广告以外并没有做其他坏事,或者说我暂时还没察觉?

不管怎样,网络安全形势确实非常严峻。前几天,我新装了一个 WordPress 的杀毒软件Wordfence,也才过去三四天,通过其控制面板就发现针对本站后台的暴力破解竟高达 900 次,中国大陆、香港、欧洲、北美各处的攻击源都有!尽管我通过访问日志一直发现有针对本站的暴力破解,但从来没有统计过,令人震惊。

后台密码暴力破解是十分常见的黑客攻击方式,成本低廉,黑客拿到网站的登录地址使用密码字典不断爆破就可以了,有些安全意识比较差的伙伴,网站使用了弱密码就会中招。在这个地球上,超过半数的网站系统采用了 WordPress,其后台登陆地址默认的都是domain.com/wp-login.php,不晓得有多少人中招。

因此,这个登录入口地址有必要改掉它。这里主要介绍一种简单修改 WordPress 后台登录地址的方式,提高我们网站的安全性,不算教程,只是我个人的备忘录。

使用纯代码修改 WordPress 后台登录地址

将下面的代码添加到你当前主题的functions.php文件,在网站仪表盘>外观>主题编辑器中可以找到(或是利用 WinSCP 等工具登录服务器直接修改文件):

//修改后台登录地址为 ~/wp-login.php?fuck=off
add_action('login_enqueue_scripts','login_protection');
function login_protection(){
    if($_GET['fuck'] != 'off')header('Location: https://www.shephe.com/');  
}

如果你不修改直接添加这段代码,你网站的后台登录地址就是网站首页/wp-login.php?fuck=off,以后登录 WordPress 后台若无?fuck=off这个参数则会跳转到代码中定义的https://www.shephe.com/,不信,你可以试试我的。因此,如果您想再个性化一些,请把这三处地方修改成自己想要的,另外,我不建议你把跳转地址设置成网站首页。

好了,是不是很简单?据我所知,还有些插件也能实现这个功能,比如:WPS Hide Login,这里就不展开了。

1920 1342 Kevin's
「纯代码修改 WordPress 后台登录地址」有 20 条评论
  • 2broear
    03/30/2024 at 22:16 回复

    fuck=off哈哈..

  • 姓名祥批
    03/30/2024 at 12:13 回复

    个人小站一般没人攻击,多此一举了!

    • 的头像
      Kevin
      04/07/2024 at 16:44 回复

      我这每天接近千次的各种攻击。。

  • Yuki
    03/30/2024 at 00:34 回复

    我幫別人serve的一個站也遇到類似的問題,目前沒有想到很好的解決辦法,只能我定期上服務去看看,解決一下。
    因為對方要求管理簡便、有GUI、用瀏覽器就能完成例如上傳文件管理數據庫之類的作業,且使用簡單密碼,不要搞二步驗證等等,反正就是怎麼讓他們用起來方便就怎麼來。我真真是無語了。

  • cion
    03/25/2024 at 18:58 回复

    去年就把默认的地址给自定义改掉了,有个小小的问题就是,wordpress发的评论通知邮件里的一键处理链接,依然还是默认的地址

    • 的头像
      Kevin
      03/28/2024 at 17:31 回复

      我这个有么?没看到啊

  • 的头像
    皇家元林
    03/24/2024 at 16:51 回复

    这个代码貌似不错。
    不过还是要注意数据备份

    • 的头像
      Kevin
      03/28/2024 at 17:31 回复

      好嘞,谢谢提醒

  • 的头像
    obaby
    03/24/2024 at 13:00 回复

    wp用户量太大了,很容易成为攻击目标
    我之前发现我的也被安装了一些乱七八糟的插件,包括新站。从wp官方下载的插件或者主题也有可能有问题

    • 的头像
      Kevin
      03/24/2024 at 14:53 回复

      恩,都有可能吧,不过我都是用的成熟的、很多下载的插件···应该是不会从这里出问题,ha

  • xige
    03/23/2024 at 23:45 回复

    你们都是大站,各种攻防准备都在搞,我是裸奔哈

  • S
    03/23/2024 at 22:48 回复

    wordfence有个不错的防火墙功能是立即锁定无效的用户名,可以把经常猜的一些用户名比如shephe、admin之类直接设置为一次就毙掉。还有就是有些肉鸡是坚持不懈的发送包,这就要在nginx或者apach里设置更高的规则把它直接ban掉,不然还是会把站点打趴的。

    • 的头像
      Kevin
      03/24/2024 at 00:08 回复

      是的,我装了waf,其实能看到这些。。不过我这儿主要是站内被污染了,也不知道具体的,不过这个插件装了之后似乎有好转

      • S
        03/24/2024 at 00:14 回复

        会不会是主题本身就有问题。
        抑或是空间商有问题。

        • 的头像
          Kevin
          03/24/2024 at 08:40 回复

          主题是正本购买的,且销量很大;
          空间是阿里云,
          倒有可能是面板问题。。。

          不过,我清晰的记得是:前年?我搞了个学生版的腾讯云,迁移过去了一阵,没多久就中病毒了,后来一直没处理干净。。

          • S
            03/24/2024 at 08:44 回复

            你换个朴素的主题试试,以及插件关掉一些花里胡哨的。

  • 的头像
    Jeffer.Z
    03/23/2024 at 22:45 回复

    我前些天被上毒,然后被cc了一周,内外爆破。瘫痪了好久,最后把插件都删了,又把海外访问全部屏蔽,dnspod直接海外线路屏蔽访问。最后消停了,有一个方法不知道适合你不,你可以把后台导出工具文章页面图片评论谢谢导出。在另一台Wp站导入下载这个xml,你会得到一个纯内容新站。无主题无插件。但是内容都在,相当于纯净版的新站。

    • 的头像
      Kevin
      03/24/2024 at 00:07 回复

      谢谢建议,但不适合我…我这个小破站动态小果太多了,且你这么搞我觉得好麻烦

      另外我这跟你不同,我的敌人在内部,像本文这样每天三四百的外部爆破其实也没啥

发表评论

请输入关键词…