wordpress隐藏后台管理登录地址修改wp-admin确保WordPress网站后台安全
WordPress程序建网站的默认登录后台登陆地址为“域名/wp-admin”,这样难免有被恶意登陆窃取网站资料的风险。为了网站安全,建议修改下Wordpress网站默认登录地址wp-admin。
add_action('login_enqueue_scripts', 'enhanced_login_protection');
function enhanced_login_protection() {
// 使用更复杂的密钥和加密方法
$secret_key = 'your_long_random_secret_key';
$current_time = floor(time() / 300); // 5分钟变化一次
$expected_hash = hash_hmac('sha256', $current_time, $secret_key);
if (!isset($_GET['access_token']) || $_GET['access_token'] !== $expected_hash) {
// 记录访问尝试
error_log("Unauthorized login attempt from IP: " . $_SERVER['REMOTE_ADDR']);
// 返回404错误,而不是重定向
header("HTTP/1.0 404 Not Found");
exit("404 Not Found");
}
}
// 在wp-config.php中添加:
// define('LOGIN_SECRET_KEY', 'your_long_random_secret_key');
将这段代码添加到主题下的functions.php文件中。
使用基于时间的哈希值,每5分钟变化一次,增加安全性。使用 hash_hmac 函数生成更安全的令牌。3. 记录未授权的访问尝试。返回404错误,不暴露登录页面的存在。
使用方法:生成访问链接:https://your-wordpress-site.com/wp-login.php?access_token=生成的哈希值注意事项:确保使用HTTPS来保护传输过程。定期更换密钥。考虑实施更多的安全措施,如双因素认证、登录尝试限制等。这种方法应该只是多层安全策略中的一部分,不应该完全依赖它。
原文链接:wordpress隐藏后台管理登录地址修改wp-admin确保WordPress网站后台安全-A5资源网