如何轻松隐藏黑客的 WordPress 登录页面

技术教程 2021年11月7日
2253 0

更改您的 WordPress 登录 URL 并隐藏您的 wp-admin 以智取黑客并防止暴力攻击……让您的网站比您想象的更难破解!

我们不要自欺欺人.即使是脚本小子也知道,要让 WordPress 网站所有者的生活变得悲惨,他们所要做的就是找到 WordPress 登录页面并猜测用户名和密码.

猜密码,顺便说一句,这并不难,特别是如果您在大多数登录时使用相同的密码并分享您的一生在社交媒体上.

WordPress 是世界上最受欢迎的 CMS 平台,这使其成为黑客和恶意登录尝试不可抗拒的磁铁.即使是最优秀的人也可能被一个可以使用蛮力工具的隐秘特立独行者打败,这些工具会通过一遍又一遍地点击您的 WordPress 登录页面来自动尝试猜测您的用户名和密码.

对抗蛮力攻击的最佳方法……隐藏!

暴力尝试登录 WordPress 非常普遍,甚至在 Codex 中有一个页面 专注于该主题.

但是……为什么要让黑客和恶意机器人有机会尝试猜测您的登录详细信息?只需隐藏您的 WordPress 登录页面,大多数机器人和自动化软件甚至都不知道您的网站存在.

在本文中,您将学习如何实施一种最简单、最简单的策略来保护您的网站免受黑客和恶意机器人的攻击:更改您的 WordPress 登录 URL、隐藏您的 wp-adminwp-login 页面并将不需要的访问者从您的登录页面重定向.

WordPress hide login page
把它打开,黑客就会破解.隐藏 WordPress 登录页面……没有恶意攻击!

为什么要更改 WordPress 登录 URL?

我有一个几年前安装的标准 WordPress 网站.要进入登录页面,您只需转到 /wp-admin/wp-login.php.

这个网站没有看到大量的流量.在一个典型的月份,它会产生大约 5,000 次综合浏览量.然而,该站点的登录页面经常会看到恶意登录尝试.我在这个网站上激活了 Defender 插件,它会跟踪号码阻止的恶意登录尝试.自从我开始跟踪被阻止的恶意登录尝试次数后,我可以看到我的网站每月处理数百次恶意登录尝试,平均约为 每天 24 次,或每 60 分钟一次恶意登录尝试.

登录尝试不会以每小时一次的固定速度进行.几个星期都可以过去,而不会记录一次恶意登录尝试.然后,突然之间,在短时间内记录了几百甚至几千次登录尝试.

大多数设置为标准安装的 WordPress 网站都会定期遇到试图登录 WordPress 仪表板的蛮力攻击.不管你知不知道,你的可能也是如此.

Defender IP Lockout logs.
蛮力攻击机器人不断寻求闯入您的WordPress 网站,无论您是否知道.

隐匿的 WordPress 安全

您可能认为使用精明的登录可以保证您的网站安全.

黑客可以轻松判断网站是否由 WordPress 提供支持(通常只需查看页面源代码即可).

Google Chrome browser-View page source option
黑客可以轻松判断您的网站是否在 WordPress 上运行删除您精明的登录信息,并为您带来更大的点击量.

一旦黑客知道您的网站在 WordPress 上运行,他们也知道如何找到您的 WordPress 登录 URL(剧透警告:默认的 WordPress 登录 URL可以通过输入您的域名找到,后跟 /wp-login.php).

当您访问 wp-login.php 时,默认的 WordPress 行为会加载登录页面.改为输入 wp-admin,您将被自动重定向到 wp-login.php.

除非您知道如何更改您的管理员用户名,否则您友好的邻居motherf 黑客也会知道您的用户名是最可能类似于 admin.

黑客现在要做的就是猜测密码.即使他们无法猜测密码但继续尝试,这可能会耗尽您服务器的资源,并可能最终导致您的网站关闭.

WP login page username admin
如果黑客在你精明的登录名周围非法跳舞足够长的时间,他们可能会产生足够多的命中来猜测您的密码.

如果他们看不到,他们就无法破解

许多黑客都是投机取巧的人,他们寻找成熟且易于采摘的低垂果实.

如果你不想别人偷你的水果,就把你的树藏起来.

继续这个非常糟糕的类比(当生活给你柠檬......),您的 WordPress 登录页面让管理员用户可以访问整个果园,因此作为我们"通过默默无闻创造安全"策略的一部分,让我们隐藏您的登录页面来自除管理员之外的其他所有人的 URL.

可选步骤:在自己的目录中安装 WordPress

无论您是处理全新的 WordPress 安装还是现有的 WordPress 网站,只要有可能,请考虑在子目录中安装 WordPress.虽然这不会阻止黑客找到你的 WordPress 登录页面,如果他们故意选择你的网站为目标,它会阻止许多随机机器人和恶意用户寻找简单的目标来开始攻击你的网站并摇晃你的树以查看结果.

将您的 WordPress 网站安装在子目录中,是迈向"通过默默无闻实现安全"的良好开端.

一如既往,在您执行任何其他操作之前,如果您要移动现有的 WordPress 安装,请创建您网站的完整备份和将其存储在您不会意外删除或修改的地方.(相关:如何备份您的备份以进行防弹保护)

还有一件事.创建子目录时,请选择一个不太容易预测的名称,例如 http://example.com/wordpresshttp://example.com/wp.取而代之的是,选择一些没有人能够猜到的独特内容,例如 http://example.com/dwiiw(directory 的首字母缩写词) w这里I i安装了WordPress.)

WordPress login screen.
提示:在自己的目录下安装WordPress找到子目录名称.

您是否选择在子目录中安装 WordPress 作为额外的安全预防措施取决于您.

下一步是隐藏您的登录页面 URL(并可选择将 wp-login.php 访问者重定向到您网站上的另一个页面).

有几种方法可以对其他用户隐藏您的 WP 登录页面:

  • 使用插件屏蔽您的登录网址(最简单的方法)
  • 在没有插件的情况下屏蔽您的 WordPress 登录 URL(极客方式)
  • 修改您的 .htaccess 文件("我需要从头开始编写所有代码"的方式)

隐藏您的网站登录页面 – 免责声明

在我们开始之前,如果您的网站需要一个登录页面,其他用户可以轻松找到(例如会员网站),则不建议使用下面分享的策略.

如果您的网站不是会员网站,并且登录尝试仅限于十几个或更少的管理员、作者、编辑和贡献者,那么隐藏您的登录页面将有助于保护您的网站免受恶意登录尝试.

使用插件隐藏 wp-login.php

有许多免费的 WordPress 插件可以让您隐藏登录页面 URL.其中一些插件还可以让您将 wp-login.php 访问者重定向到您网站的另一个页面.只需访问 WordPress.org 插件目录并搜索"隐藏 WP 登录"即可查看您可以使用的安全插件列表.

对于本教程,我们将使用 WPMU DEV 自己的 Defender 插件.

Defender 允许您隐藏重定向 wp-login.php,并包含许多其他顶级安全功能.

Defender WordPress security plugin
Defender 保护您的网站免受黑客和蛮力攻击.

您可以从 WordPress 插件存储库免费下载 Defender 或如果您是 WPMU DEV 成员,请继续从以下位置安装 Defender Pro您的 WordPress 站点管理中心.

Defender Pro WordPress security plugin installation screen.
安装 Defender WordPress 安全插件并使您的 WordPress 登录页面不可见给黑客.

注意:有关完整的安装和配置说明,请参阅Defender 插件文档部分.

安装并激活插件后,导航到您的主 WordPress 仪表板菜单并转到 Defender >仪表板.

找到"Mask Login Area"部分,然后点击"Active"按钮打开该功能.

Activate Mask Login Area-Defender WordPress Security Plugin
激活 Defender 的"面具登录区域"以隐藏您的 WP 登录信息网址.

单击"完成设置"按钮以显示 URL 屏蔽选项屏幕.

Defender Mask Login Area Finish Setup screen.
点击按钮,让我们激活WordPress移动登录页面功能.

这会显示高级工具屏幕.

Defender-Advanced Tools screen.
Defender"高级工具"屏幕.

Masking URL 部分,输入一个新的 URL slug,您的网站用户将在其中登录或注册您的网站.再次,我建议您选择一些您可以轻松记住但其他人无法随机猜测的内容.

对于这个例子,让我们使用之前使用的相同首字母缩略词方法来想出目录名称​​dwiiw,让我们将我们的新 WordPress 登录 URL 命名为唯一的名称,例如:

http://example.com/dwiiw/gli

在这种情况下,gli 代表 get logged in,它实现了同时易于记忆和难以猜测的目标.

让你的新 WordPress 登录 URL 难以被黑客猜到.

保存您的更改并退出您的 WordPress 网站.

现在,尝试通过 yourdomain.com/wp-login.php 上的默认登录页面重新登录.

Masked WordPress login page URL.
等等……什么? WordPress 登录框在哪里?

通常,在网络浏览器中输入 wp-admin 会自动将用户重定向到 wp-login.php.Defender 也禁用了此功能.

Masked WordPress wp-admin page.
救命……我是黑客,让我进来!

现在只有有权访问屏蔽 URL 的用户才能看到 WordPress 登录页面.

您的 WordPress 登录页面 URL 现在已被屏蔽.

提示:作为对用户的额外好处,您可能还想自定义您的 WordPress 登录页面安装插件以改进用户登录和注册,或者让用户使用电子邮件地址登录WordPress一>.但是,如果只允许某些用户访问您的管理部分,那么您可以通过 IP 地址限制特定用户对登录页面的访问.

WordPress custom login page.
一个定制的 WordPress 登录页面.没有任何安全优势,但是不错!

可选步骤:重定向 wp-login.php

使用上面显示的方法,任何试图访问默认 WordPress 登录页面(即 wp-login.php)的人都会收到一条错误消息("此功能已禁用").

如果您想将访问者和用户(甚至黑客)发送到不同的页面(例如您的商店页面、联系页面、常见问题部分或您网站上的任何其他页面),您可以重定向默认的 wp-login.php 使用 Defender 的重定向流量功能的 URL.

要重定向 wp-login.php 页面,请转到 WP 仪表板菜单并选择 Defender >高级工具掩码登录区.

重定向流量部分启用 404 重定向,输入您想要将访问者发送到的页面的 slug,然后点击保存更改以更新您的设置. >

Defender Redirect Traffic URL
好吧,黑客们,是时候看看犯罪是否真的有回报了……

现在,任何尝试访问默认登录 URL 的人都将被重定向到您指定的帖子或页面.

来吧黑客们......给'直到它受到伤害!

注意事项:

  • 您可以在 slug 中使用 a-z 和 0-9 的任意组合.
  • 您无法添加完整网址(这可以防止将您的 404 错误发送到另一个域).

在没有插件的情况下隐藏 WordPress 登录页面

如果您想在不使用插件的情况下隐藏您的登录页面,您只需要一个文本编辑器,访问您的 WordPress 安装文件(FTP, cPanel 文件管理器等),然后执行以下操作:

1 – 备份您的 wp-login.php 文件.

在此期间,请继续备份其他所有内容,因为您即将弄乱代码并进入危险区域!

wp-login.php file code
备份您的 wp-login.php 文件并复制所有代码到剪贴板.

注意:如果您正在寻找一款出色的插件来备份和恢复您的文件和 WordPress 网站,我们建议您使用我们自己的快照.

接下来,打开您的 wp-login.php 文件.选择所有代码并将其复制到剪贴板.

2 – 创建一个新的 PHP 登录文件.

使用文本编辑器创建一个新文件.将此文件命名为您喜欢的任何名称(例如‘canny-login.php’、‘danger-zone.php’等).

将现有 wp-login.php 文件中的代码粘贴到新文件中并保存.或者,打开您的 wp-login.php 文件并"另存为"您的新文件名.

wp-login.php file code renamed.
您重命名的 wp-login 文件.相同的代码,前卫的文件名.

3 – 在新文件代码中搜索并替换"wp-login.php"字符串.

在代码中搜索并替换"wp-login.php"的每个实例,并使用您的新登录文件名.

Search and replace wp-login.php string
搜索并替换'wp-login.php的所有实例' 使用您的新登录文件名.

使用修改后的代码重新保存文件.

4 – 将您的新登录文件上传到您的服务器.

登录您的服务器并将新的登录文件上传到您安装 WordPress 的根文件夹或目录.从您的服务器中删除原始 wp-login.php 文件.

用新的登录文件替换服务器中的 wp-login.php.

5 – 更新默认登录和注销 URL.

最后一步是挂钩 login_urllogout_url 过滤器以更新我们的文件.

将以下代码添加到您的主题的 functions.php(最好在您的子主题中):

add_filter( 'logout_url', 'custom_logout_url' );
function custom_logout_url( $default )
{
return str_replace( 'wp-login', 'danger-zone', $default );
}
add_filter( 'login_url', 'custom_login_url' );
function custom_login_url( $default )
{
return str_replace( 'wp-login', 'danger-zone', $default );
}

6 – 测试您的新登录 URL

测试您的新登录页面 URL.任何访问默认 wp-login.php 页面的人都会遇到错误.

这里没有秘密黑客的精明登录,除非他们知道如何在高速公路上巡航到危险区域.

要恢复到原始登录页面,只需从备份中恢复 wp-login.php 文件并从服务器中删除新文件.

WordPress 登录 URL.htaccess 文件黑客

有多种方法可以使用.htaccess 文件"隐藏"您的 WordPress 登录详细信息.然而,隐藏您的 WordPress 登录 URL 并不一定意味着对其他人隐藏.

例如,让我们看看当您将 URL 转发添加到.htaccess 时会发生什么.在对.htaccess 文件进行任何更改之前,请记住对您的网站进行完整备份.

带有 URL 重定向的 WordPress 登录页面模糊

您可以通过使用 mod_rewrite 模块.

为此,请将以下行添加到您的.htaccess 文件中(注意:将"newloginpage"替换为任何别名并将 example.com URL 更改为您的域):

RewriteRule ^newloginpage$ http://www.example.com/wp-login.php [NC,L]

在此示例中,我们将添加一个名为"dancekevindance"的别名并将.htaccess 文件重新上传到我们的服务器:

URL forwarding htaccess file
让我们重写规则,看看我们是否可以隐藏我们的精明登录.

现在,返回站点并输入新 URL.

URL 转发不会隐藏 WP 登录 URL,它只是围绕这个问题跳舞.

如您所见,上述方法不会隐藏默认的 WordPress 登录 URL,它只是创建一个别名,让用户使用他们比 https://yourexample.com/wp-login.php 更容易记住的网址.

使用代码隐藏您的 WordPress 登录页面

理想情况下,如果您想更改 WordPress 登录 URL、隐藏 wp-admin wp-login.php 页面或将用户从默认登录页面重定向,我们建议您坚持使用插件.乱用代码可能会导致兼容性问题、降低网站速度并产生其他问题.

但是,如果您想查看其他涉及代码的选项,请查看我们写的这篇关于使用代码向黑客隐藏您的 WordPress 登录页面.

不要让他们带你进入危险区域

WordPress 是黑客和恶意机器人的磁铁,因此了解 WordPress 安全最佳实践并实施多个 WordPress 安全策略,保护您的网站免受黑客和暴力攻击.这包括通过默默无闻来确保安全.

当用作更全面的安全策略的一部分时,默默无闻会有所帮助.然而,正如我们刚刚看到的,仅仅隐藏 WordPress 登录页面并不足以保证您会看到零恶意登录尝试.

除非您真的更改了您网站的 WordPress 登录 URL 并将不需要的访问者重定向到诸如 wp-login.phpwp-admin 之类的页面,否则黑客和机器人将仍然可以找到您的登录页面并尝试猜测您的登录详细信息.

乱用代码可能会导致兼容性问题、降低网站速度并产生其他问题.使用像 Defender 这样的插件是隐藏 WordPress 登录页面的最简单方法来自黑客的攻击,并使绝大多数低速恶意登录尝试几乎无法察觉.

为了保护您的网站免受最坏的影响,您需要最好的帮助.如果您还不是 WPMU DEV 的成员,请加入我们的顶级 WordPress 开发人员和网站所有者精英团队,享受我们的无风险免费试用并获得访问您的网站所需的所有安全工具、保护功能和支持,让您的网站飞得更高,自由飞出危险区域.

标签:

WordPress(893)登录(16)黑客(7)
6

相关文章

发表回复