最近WordPress界出了条新闻:博客平台Wordpress网站遭遇大规模暴力破解攻击(原文附后)。看到这条消息,我立马到空间后台查看了下,发现确实是有很多来自wp-login.php的连接请求。与此同时,Jeff 在 歪酷人主机的官方博客那里获得了一个通过修改WordPress登陆文件名wp-login.php后缀来隐藏登陆界面的方法,分享给大家。
修改WordPress后台登陆地址链接
WordPress 博客默认的登陆链接地址为(https://example.com/wp-login.php),为保证安全,可以修改WordPress登陆文件名wp-login.php后缀,防密码被暴力破解。
方法:
一、修改在网站根目录下的wp-login.php文件名为wp-denglu.php(或者其他名字,以下以此为例),并将该文件wp-denglu.php中出现的字符wp-login.php全部改为wp-denglu.php;
二、查找根目录下的wp-includes/general-template.php文件,除了代码大概第238行
1 |
$login_url = site_url('wp-login.php', 'login');
|
不要修改,该文件其他的字符wp-login.php替换为wp-denglu.php,注意完成修改后覆盖原文件保存,这样就可以避免黑客知道你的登陆地址!
插件法:可以安装安全插件 Limit Login Attempts, 安装并启用该插件后不需要做其他特别设置。当连续登陆失败,插件会临时屏蔽登陆 IP 地址。
来自solidot的新闻:
WordPress网站过去几天遭到了大规模的暴力破解攻击,攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面。Wordpress是世界上最流行的博客软件和内容管理系统之一。一般的僵尸网络是利用普通PC,而攻击者此次使用了超过9万台Web服务器,服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。攻击者针对的是安全薄弱的Wordpress网站,暴力攻击Wordpress管理入口,使用用户名admin,尝试数以千计的密码。
Loading...
在线咨询
😡 😡 改了文件名后,当文章被加密了输入密码时,无法正常进入。这个问题怎么解决呢?
P.S.输入密码后,跳出来的网址是****/wp-login.php?pos***省去部分内容,这个应该改哪里呢?