为什么及如何修改WordPress默认登录链接
- 独立站
- 2024-04-22
- 42热度
- 0评论
目录
一个强大的、独特的密码可以帮助防止对你的WordPress网站的未授权访问。然而,攻击者有聪明的方法来绕过这一点。因此,这并不总是足以适当地保护你的网站免受攻击。
幸运的是,你可以通过把你的WordPress登录页面移到一个新的URL上,来减少黑客进入你的网站的风险。这可以使你处于一个更好的位置来防御黑客和暴力攻击。
这篇文章将仔细看看为什么你应该考虑改变你的WordPress登录网址。然后,我们将告诉你如何找到你的登录URL,并使用两种不同的方法修改它。
为什么修改WordPress默认登录链接
由于WordPress没有隐藏你的登录页面,任何用户都可以找到它,只要他们知道WordPress是如何构造它的URL的。一个登录页面的默认结构看起来像这样:
https://example.com/wp-login.php
这意味着当用户将你的网站名称插入上述URL结构时,他们应该在浏览器中看到一个页面,提示他们登录到你的网站后端:
当然,用户会缺乏进入你的网站的凭证。
为了简单起见,许多人喜欢坚持使用这种默认的wp-login结构来登录WordPress。然而,如果让它保持原样,你实际上是把你的一半登录凭证交给了攻击者。
如果你的密码很普通,很弱,很容易被猜中,这就特别危险。简而言之,这是一个不必要的漏洞,很容易解决。
你可以通过改变你的WordPress登录URL来更彻底地保护你的登录页面。因此,你可以防止未经授权访问你的网站,减少暴力攻击的风险。
如何找到你的WordPress登录URL
正如我们在上一节提到的,WordPress使用一个标准的登录链接结构,看起来像这样:
https://example.com/wp-login.php
所以,你所要做的就是把后缀加到你的域名上,然后你应该登陆到你的登录页面。你也可以在登出时尝试访问你的WordPress仪表板来找到你的登录页面。只要在搜索栏中输入 “yourwebsite.com/wp-admin“,你就会登陆到相同的登录页面。
然而,请记住,有些虚拟主机出于安全原因会自动改变你的WordPress登录页面。因此,你可能已经有一个自定义的登录URL。我们将在下一节告诉你如何找到它。
如何找到一个自定义的WordPress登录链接
如果你的虚拟主机改变了你的登录网址,你通常可以从电子邮件中找回它,或者在你的控制面板中找到它。有些主机甚至包括一键访问WordPress管理面板的链接,这可能是有用的。
然而,如果你不能使用这些选项之一来识别你的自定义登录网址,你可以手动找到它。你所需要做的就是用SFTP连接到你的网站。
你可以使用像FileZilla这样的客户端。请记住,你将需要你的FTP凭证,你可以从你的虚拟主机上得到。然后,打开包含登录链接的根文件夹。这个文件夹通常被标记为public_html(这个似乎所使用的服务器环境)。
找到并打开wp-login.php文件,注意查看读作site_url的字符串。 这将导致一行代码,指定你的自定义登录URL。
如何修改WordPress登录链接
现在你知道在哪里可以找到你的WordPress登录网址,让我们来看看你可以用两种简单的方法来改变它。
方法1:用插件改变你的WordPress登录链接
改变你的WordPress登录网址的最简单的方法是使用一个插件。幸运的是,有很多插件可以实现这个功能。
WPS Hide Login是一个伟大的选择,因为它是轻量级的。它允许你安全地将你的WordPress管理登录页面改为任何你想要的东西。
更好的是,WPS隐藏登录还可以防止所有已登录的用户访问wp-admin目录和wp-login.php。
要开始使用,你需要安装并激活该插件。然后,进入设置 > WPS Hide Login:
在这里,你可以输入一个新的登录网址,然后点击保存更改。 就这么简单。这个插件也有一个相当活跃的支持论坛,如果你需要任何帮助,你可以去看看。
请记住,一旦这个插件被激活,并且你进行了修改,你将无法访问你的旧登录屏幕。相反,你将被引导到你创建的新登录界面。
根据我们上面的例子,你现在需要在你的域名后面输入”/login“来访问你的网站。此外,请记住,如果你停用该插件,你的网站将恢复到使用wp-admin和wp-login.php。
方法2:通过编辑你的wp-login.php文件改变你的WordPress登录链接
这第二种方法有点棘手,只适合有经验的用户。因此,在你开始下面的步骤之前,最好先对你的网站做一个新的备份,以防出现什么问题。
同样重要的是要知道,当你更新你的主题时,你的改变可能会恢复到以前的设置。然而,你可以通过使用一个子主题来避免这个问题。
首先,你需要访问你的根文件夹,你可以通过你的文件管理器或使用FTP来做到这一点。同样,你要找的是名为public_html的文件夹。
在根目录下,找到wp-login.php文件夹。这是生成你的网站登录页面的代码的地方:
一旦你找到了这个文件,你可以把它的副本下载到你的电脑上。然后,用Sublime或Notepad++等文本编辑器打开该文件夹。
理想情况下,最好是使用一个提供 “搜索和替换“工具的编辑器。这样,你可以更迅速地改变所有现有的WordPress登录URL实例。
如果你能使用它,使用搜索工具找到wp_login_url字符串的每个实例:
然后,将这些字符串改为你想使用的新的登录链接。记住,你可以保持它的简单和直接,只要它是原创的(并且与默认的不同)。例如,你可能更喜欢access.php或wp-new-login这样的东西。
一旦你对你的修改满意,保存并关闭编辑器。然后,用你选择的新URL重命名该文件(如access.php)。
现在,你可以使用你的FTP客户端或文件管理器将新文件上传到你的根目录。只需从你的电脑中选择修改后的登录文件。然后,使用 “login_url “过滤钩子注册新的登录文件。这使你可以使用任何页面作为你的登录页面,只要它包含一个登录表格。
要做到这一点,请导航到wp-content > themes,找到你的主题功能文件。 选择你的活动主题并打开 functions.php 文件。
现在你在这里,你可以把下面这行代码粘贴到文件中:
/*
*Change WP Login file URL using “login_url” filter hook
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter**(** ‘login_url’, ‘custom_login_url’, PHP_INT_MAX **)**;
function custom_login_url**(** $login_url **)** **{**
$login_url = site_url**(** ‘wp-your-new-login-file-name.php’, ‘login’ **)**;
return $login_url;
**}**
然后记得保存你的修改。
在删除旧文件之前,测试你的新登录是很重要的。要做到这一点,只需输入你的网站的域名,并在最后加上你的新的登录网址。然后,如果你看到WordPress的登录表格,你可以删除原来的wp-login.php文件。
方法3:通过修改function.php代码实现
优势:告别插件,不会拖累博客。
方法:
1、找到当前主题的functions.php文件,记住是当前主题的,路径一般为:根目录/wp-content/themes/你的主题/functions.php
2、复制下列代码,到functions.php文件中
//保护后台登录
function login_protection(){
if($_GET['word'] != 'lg')header('Location: https://example.com/');
}
add_action('login_enqueue_scripts','login_protection');
复制后保存,上传覆盖即可,那么如何使用呢?
注意:你需要对上述代码中的网址和关键词进行修改。
以上述代码为例,当我输入原登录地址时https://example.com/wp-login.php时,会返回到博客首页;
当我使用https://example.com/wp-login.php?word=lanmitu 带有关键词的链接登录时,就会返回登录入口。
大家可以试一下。在修改之前,建议做好备份已免出错。
保护WordPress登录进程的其他方法
改变你的WordPress登录网址对于加强你的网站的安全是很好的。然而,这并不是你能做的全部。这里有一些其他的方法来保护你的WordPress登录过程。
限制登录尝试
当你限制登录尝试时,你可以阻止黑客和机器人试图通过尝试数百个用户名和密码来访问你的网站。这一点特别重要,因为暴力攻击是第二种最常见的在线威胁类型。
做到这一点的最简单方法是使用一个像Limit Login Attempts Reloaded。
这个插件在你的网站上被激活后就开始工作了。默认情况下,用户在被锁在WordPress之外之前有四次登录的机会。然而,你可以访问该插件的设置来修改这一点:
在这里,你也可以决定用户被锁定的时间长度。在你的仪表板上,你会看到有多少暴力攻击被该插件阻止了。此外,你可以切换到日志选项卡,手动屏蔽特定的IP地址。
实施二步认证
二步认证要求用户提交的不仅仅是他们的标准登录凭证。相反,用户被要求实时生成第二个密钥。这通常是一个通过SMS短信、电子邮件或应用程序发送的代码:
由于机器人和黑客无法产生第二个密钥,这是防止未经授权访问你的网站的一个好方法。在你的网站上添加这一功能的最好方法之一是使用像miniOrange这样的插件:
一旦激活,在你的管理区进入新的miniOrange 2-Factor链接,找到Account部分。为了配置该插件,你必须注册一个账户。这完全是免费的,只需要一分钟。然后,你会收到一个代码,使你能够验证你的电子邮件。
在这个阶段,导航到Two Factor,使用Setup Two Factor 标签。在这里,你可以选择你喜欢的认证方法。例如,你可以使用谷歌认证器应用程序、短信、QR码或安全问题:
最后,如果你切换到设置,你可以为所有用户、特定用户启用二步认证,并在登录页面显示你的二步提示。
使用CAPTCHA
CAPTCHA或reCAPTCHA为你的网站提供了一个额外的安全层。通常情况下,它被用来控制对敏感页面的访问。更重要的是,它可以阻止机器人在你的网站上创建垃圾邮件或通过订单表格或登录表格访问个人信息。
同样,一个插件是在你的网站上启用验证码的最简单方法。有了reCaptcha,你可以在你喜欢的任何表格中添加一个简单的验证码复选框:
你需要在WordPress上安装并激活该插件。然后,在谷歌注册你的网站,以检索你的谷歌API密钥。在WordPress,你可以前往Google Captcha > Settings,输入你的密钥,并确定哪些表单应该使用验证码。
实施强密码
改变WordPress的登录URL是个好主意,这样你就不会使用容易猜到的 “admin “后缀了。然而,如果你继续使用弱的或重复的密码,使你的账户处于更大的攻击风险中,你的努力就白费了。
事实上,只有24%的美国网络用户为他们的每个在线账户使用不同的密码。同时,只有44%的用户使用密码管理器来安全地生成和存储密码。
今后,最好选择大、小写字母结合数字和特殊字符的长密码。我们还建议使用LastPass这样的密码管理器,以获得额外的安全感:
另外,鼓励有访问权的用户使用强密码也很重要。你可以在用户注册你的网站时收到的欢迎邮件中说明这一点。
小结
在你的WordPress网站上确保万无一失的安全,这可能是一个挑战。幸运的是,你可以通过改变你的WordPress登录URL来做到这一点。这样,你的登录页面几乎不可能被找到,除非你向用户提供你新的、自定义的登录URL。
这里有两种改变WordPress登录URL的方法:
- 使用一个像WPS Hide Login插件。
- 编辑你的wp-login.php文件。