首先我们要连接你的ECS(SSH或者BT面板都可以)

然后我们先备份一下这文件(防止手残)

然后我们开始放心大胆的效果http.php文件

在http.php文件中搜索代码

$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );

把他替换成

$same_host = (strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ) ‘localhost’ == strtolower($parsed_url[‘host’])); []

还有一处,找到

if ( 127 === $parts[0] 10 === $parts[0] 0 === $parts[0]

替换成

if ( 127 === $parts[0] 10 === $parts[0] 0 === $parts[0] 0 ===$parts[0] “

最后,保存文件

下面继续其他方面加固
代码实现WordPress更改/加密后台wp-login.php登录地址

wp-login修改加密代码

修改wp-login的方法主要有插件法(WPS Hide Login、Stealth Login Pag等)和代码法,老白一向不太喜欢插件,所以本文主要说代码法。

WordPress后台的默认登录形式为/wp-login.php,代码法就有两种,一种是直接修改wp-login.php为xxx.php,还有一种是在wp-login.php后加特征字符。前一种较为复杂,个人认为也没必要,所以下面介绍第二种。

方式一

function.php修改

修改你当前使用的主题目录下的文件 functions.php 将以下代码加入到其最后。

其中的 xcbtmw 改成你需要的字符,之后登录的地址便是:网站域名/wp-login.php?xcbtmw,或者是:网站域名/wp-admin?xcbtmw

如果不按照以上地址访问,将直接跳转到网站首页。

// 更改网站后台登录地址-
add_action('login_enqueue_scripts', 'tb_wp_login_protection');
function tb_wp_login_protection(){
    if( !isset($_GET['xcbtmw']) ){
        header( 'Location: ' . home_url() );
        exit;
    }
}

我们还可以设置跳转链接

// 更改网站后台登录地址-https://www.xxx.com/29395.html
add_action('login_enqueue_scripts', 'tb_wp_login_protection');
function tb_wp_login_protection(){
    if( !isset($_GET['meimei']) ){
        header( 'Location: https://https://www.xxx.com/' );
        exit;
    }
}

上面的“https://https://www.xxx.com/”就是失败后的跳转链接

方式二

用过WordPress后台的,其实都知道http://域名目录/wp-login.php就是登录地址,如果这时候使用暴力破解,很可能破解密码(这就有些想象力了),下面就带你看看如何自定义美观的地址。

首先,咱要明确 WordPress登陆文件名wp-login.php后缀。
我们一共需要修改2个文件,其中当然包括wp-login.php

1、先在网站根目录下把wp-login.php文件改成你想要的名字,例如ztmbk.php,然后用编辑器打开这个文件。替换所有wp-login字符为ztmbk。

2、然后找到wp-includes目录内的general-template.php文件,用编辑器打开,替换所有wp-login字符为ztmbk。再搜索变量$login_url,将这个变量改成这样

$login_url = site_url(‘这个随便改.php’, ‘login’);

其中【这个随便改】可以换成别的,保存默认的wp-login也可以,这行的意思是定义当有人通过http://域名/wp-admin/地址访问网站时或者直接访问后台某个地址时进行跳转到site_url()设置的地址内,所以防止别人探索你的后台地址。

以上修改结束后,将文件上传至服务器,大功告成,以后要登录后台,就需要打开ztmbk.php才能进行登录啦。

方式三

1.打开WordPress的文件管理器,找到网站根目录下的wp-config.php文件。

2.在wp-config.php文件中添加以下代码:

define('WP_ADMIN_DIR', 'new-admin');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR );

其中,’new-admin’可以替换为你想要的新的后台登录地址。

3.保存并上传wp-config.php文件到服务器。

4.打开WordPress的文件管理器,找到网站根目录下的.htaccess文件。

5.在.htaccess文件中添加以下代码:

RewriteRule ^new-admin/(.*) wp-admin/$1?%{QUERY_STRING} [L]

其中,’new-admin’应该和第2步中定义的WP_ADMIN_DIR保持一致。

6.保存并上传.htaccess文件到服务器。

方式四

一、修改方法

1、首先在自己的主题文件夹中找到functions.php,一般都是此文件,但也有例外,像DUX主题是“functions-theme.php”文件。

2、在functions.php文件当中添加下面代码。这里需要解释下的是“if($_GET[‘wn789’] != ‘admin’)header(‘Location: ’)”中的“wn789”“admin”“”可以根据自己需要进行修改。“Location:”后面的地址是当你不用此地址登录时,就会自动跳转到此地址。

//保护后台登录
add_action('login_enqueue_scripts','login_protection'); 
function login_protection(){ 
 if($_GET['wn789'] != 'admin')header('Location: '); 
}

蜗牛这里修改后,后台只能使用“”登录,其他默认的登录地址会自动跳转到“”

方式五

直接使用插件,有很多种

 

//后台登陆数学验证码
function myplugin_add_login_fields() {
//获取两个随机数, 范围0~9
$num1=rand(0,9);
$num2=rand(0,9);
//最终网页中的具体内容
    echo "<p><label for='math' class='small'>验证码</label><br /> $num1 + $num2 = ?<input type='text' name='sum' class='input' value='' size='25' tabindex='4'>"
."<input type='hidden' name='num1' value='$num1'>"
."<input type='hidden' name='num2' value='$num2'></p>";
}
add_action('login_form','myplugin_add_login_fields');
function login_val() {
$sum=$_POST['sum'];//用户提交的计算结果
switch($sum){
//得到正确的计算结果则直接跳出
case $_POST['num1']+$_POST['num2']:break;
//未填写结果时的错误讯息
case null:wp_die('错误: 请输入验证码.');break;
//计算错误时的错误讯息
default:wp_die('错误: 验证码错误,请重试.');
}
}
add_action('login_form_login','login_val');

更多加固方式见

wordpress:安全设置篇,防止后台爆破,禁止指定文件嗅探!

https://zhuanlan.zhihu.com/p/596839956

https://www.dyxmq.cn/cloud/wordpress/wp-xmlrpc-bug.html

https://www.dyxmq.cn/cloud/wordpress/wp-login-security-solution.html

https://i.uvooc.com/webtech/wordpress-back-safe/