wordpress安全防护之修改wp-login文件

虽然修改了wordpress后台登录地址并且关闭了XMLRPC接口,但是Limit Login Attempts插件还是给我发邮件说有人尝试登录后台失败,头疼,于是就索性把后台登录的wp-login.php文件给改了。

这里需要修改网站根目录下的wp-login.php和wp-includes目录下的general-template.php文件:

◆首先备份wp-login.php文件。
◆然后复制一份,重命名为 login123.php(名字随意)。
◆接着用sublime等文本编辑器打开 login123.php,把代码里面的wp-login.php全部都替换成login123.php 。
◆然后找到wp-includes目录下的general-template.php文件编辑打开,也把里面的wp-login.php替换成 login123.php,只有一处大约在335行的wp-login.php不要改,就是下面代码里的这个,保留。如果连这个也改了,那么别人输入wp-admin登录时也会跳转到正确的登录页面。

function wp_login_url($redirect = '', $force_reauth = false) {
$login_url = site_url('wp-login.php', 'login');

最后将修改好的login123.php和general-template.php上传到各自的目录就可以了。本文参考了JV的文章

weinxin
我的微信公众号
我的微信公众号扫一扫
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:3   其中:访客  3   博主  0

    • avatar JV 2

      呵呵,其实还有一点我没写:除了上面的措施以外,还可以做一个假的 wp-login.php 保留登出代码,而删除登入代码部分。
      留一个表单,POST对象改变别的地址就行了。让他们来爆破吧,试一亿遍都没用。

      如果你没有wp-login.php反而会引起某些有用心的人继续窥探你的入口。

        • avatar JV 2

          @JV 登录入口你留给自己就行了,参照wp-login.php来写,这样就不需要修改general-template.php文件了,修改这个只是为了登出而已。

          • avatar 厘米 9

            @JV 谢谢JV提点,期待你出个教程啊,我是不会改代码!