主机频道
今天有个朋友火急火燎地找我,说他的网站突然慢得跟拖拉机似的。我让他看了下服务器日志,好家伙,`wp-login.php` 这个默认的WordPress登录地址,正被一堆机器人疯狂“问候”。这典型的就是被机器搞暴力破解了,不停地尝试登录,把数据库资源都给占满了,网站不卡才怪。
碰到这种事,常规操作有两个思路。一是把那些搞事的IP一个个拉黑,但这治标不治本,跟打地鼠一样,封不完的。所以,最釜底抽薪的办法,就是把WordPress这个默认的登录大门给换个地方,让机器人找不到北。也有人说用插件限制特定IP登录后台,这法子我不太推荐,万一哪天自己换了地方上网,IP一变,把自己锁门外了,那可就搞笑了。所以,还是改登录地址最靠谱。
下面给大伙分享两个方法,一个“硬核”点,一个“取巧”点,按需取用。
第一种:直接动手改文件(适合爱折腾的朋友)
这个方法比较彻底,但开搞前,务必先备份网站文件!务必备份!
1、首先,用FTP或者文件管理器,找到你网站根目录下的 `wp-login.php` 文件。给它重命名,名字随你喜欢,比如改成 `laobuluo.php`,或者 `my-secret-login.php` 都行,只要你自己记得住。改完名,再打开这个文件,用编辑器的查找替换功能,把里面所有的 `wp-login.php` 字符串,全部替换成你刚起的新名字,比如 `laobuluo.php`。
2、接着,再找到 `/wp-includes/general-template.php` 这个文件。打开它,搜索下面这行代码(大概在238行附近,版本不同可能位置有差异):
$login_url = site_url('wp-login.php', 'login');
同样,把这里的 `wp-login.php` 也改成你的新名字 `laobuluo.php`。改完后记得保存文件并覆盖原文件。
3、顺便提一句,不管用哪种方法,都推荐再装个 `Limit Login Attempts` 这样的插件。它可以设置登录失败几次后,就自动锁定该IP一段时间,多一道保险。
第二种:用代码片段“暗度陈仓”(懒人推荐)
如果你觉得改系统文件太麻烦,怕手滑搞崩网站,那这个方法绝对是你的菜。简单、无痛,还不容易在WordPress更新后失效。
把下面这段代码,加到你当前使用主题的 `Functions.php` 文件里就行了:
//修改WP后台登录地址 zhujipindao.com
function login_protection(){
if($_GET['newlogin'] != 'laozuo')header('Location: https://zhujipindao.com/');
}
add_action('login_enqueue_scripts','login_protection');
这段代码的意思很简单:给你的登录页加了个“暗号”。以后想登录后台,就必须访问这个地址:`http://你的网站地址/wp-login.php?newlogin=laozuo`。如果直接访问 `wp-login.php`,就会被一脚踹回网站首页。当然,`newlogin` 和 `laozuo` 这两个参数你都可以改成自己喜欢的,越复杂越好。
最后说个小坑:如果你用了第二种方法,并且网站开启了缓存插件,可能会在输入正确密码登录后看到一个错误提示。别慌,这多半是缓存的锅。这时候你其实已经登录成功了,直接在浏览器里访问 `http://你的网站地址/wp-admin`,就能顺利进入后台了。
好了,两个法子都交给你了,选一个开干吧。我个人更倾向于第二种,不动核心文件,省心!
评论前必须登录!
注册