首先我们要连接你的ECS(SSH或者BT面板都可以)
然后我们先备份一下这文件(防止手残)
然后我们开始放心大胆的效果http.php文件
在http.php文件中搜索代码
$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );
把他替换成
$same_host = (strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ) ‘localhost’ == strtolower($parsed_url[‘host’])); []
还有一处,找到
if ( 127 === $parts[0] 10 === $parts[0] 0 === $parts[0]
替换成
if ( 127 === $parts[0] 10 === $parts[0] 0 === $parts[0] 0 ===$parts[0] “
最后,保存文件
下面继续其他方面加固
代码实现WordPress更改/加密后台wp-login.php登录地址
wp-login修改加密代码
修改wp-login的方法主要有插件法(WPS Hide Login、Stealth Login Pag等)和代码法,老白一向不太喜欢插件,所以本文主要说代码法。
WordPress后台的默认登录形式为/wp-login.php
,代码法就有两种,一种是直接修改wp-login.php为xxx.php,还有一种是在wp-login.php后加特征字符。前一种较为复杂,个人认为也没必要,所以下面介绍第二种。
方式一
function.php修改
修改你当前使用的主题目录下的文件 functions.php 将以下代码加入到其最后。
其中的 xcbtmw
改成你需要的字符,之后登录的地址便是:网站域名/wp-login.php?xcbtmw,或者是:网站域名/wp-admin?xcbtmw
如果不按照以上地址访问,将直接跳转到网站首页。
我们还可以设置跳转链接
上面的“https://https://www.xxx.com/”就是失败后的跳转链接
方式二
用过WordPress后台的,其实都知道http://域名目录/wp-login.php就是登录地址,如果这时候使用暴力破解,很可能破解密码(这就有些想象力了),下面就带你看看如何自定义美观的地址。
首先,咱要明确 WordPress登陆文件名wp-login.php后缀。
我们一共需要修改2个文件,其中当然包括wp-login.php
1、先在网站根目录下把wp-login.php文件改成你想要的名字,例如ztmbk.php,然后用编辑器打开这个文件。替换所有wp-login字符为ztmbk。
2、然后找到wp-includes目录内的general-template.php文件,用编辑器打开,替换所有wp-login字符为ztmbk。再搜索变量$login_url,将这个变量改成这样
其中【这个随便改】可以换成别的,保存默认的wp-login也可以,这行的意思是定义当有人通过http://域名/wp-admin/地址访问网站时或者直接访问后台某个地址时进行跳转到site_url()设置的地址内,所以防止别人探索你的后台地址。
以上修改结束后,将文件上传至服务器,大功告成,以后要登录后台,就需要打开ztmbk.php才能进行登录啦。
方式三
1.打开WordPress的文件管理器,找到网站根目录下的wp-config.php文件。
2.在wp-config.php文件中添加以下代码:
define('WP_ADMIN_DIR', 'new-admin');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR );
其中,’new-admin’可以替换为你想要的新的后台登录地址。
3.保存并上传wp-config.php文件到服务器。
4.打开WordPress的文件管理器,找到网站根目录下的.htaccess文件。
5.在.htaccess文件中添加以下代码:
RewriteRule ^new-admin/(.*) wp-admin/$1?%{QUERY_STRING} [L]
其中,’new-admin’应该和第2步中定义的WP_ADMIN_DIR保持一致。
6.保存并上传.htaccess文件到服务器。
方式四
一、修改方法
1、首先在自己的主题文件夹中找到functions.php,一般都是此文件,但也有例外,像DUX主题是“functions-theme.php”文件。
2、在functions.php文件当中添加下面代码。这里需要解释下的是“if($_GET[‘wn789’] != ‘admin’)header(‘Location: ’)”中的“wn789”“admin”“”可以根据自己需要进行修改。“Location:”后面的地址是当你不用此地址登录时,就会自动跳转到此地址。
//保护后台登录 add_action('login_enqueue_scripts','login_protection'); function login_protection(){ if($_GET['wn789'] != 'admin')header('Location: '); }
蜗牛这里修改后,后台只能使用“”登录,其他默认的登录地址会自动跳转到“”
方式五
直接使用插件,有很多种
//后台登陆数学验证码 function myplugin_add_login_fields() { //获取两个随机数, 范围0~9 $num1=rand(0,9); $num2=rand(0,9); //最终网页中的具体内容 echo "<p><label for='math' class='small'>验证码</label><br /> $num1 + $num2 = ?<input type='text' name='sum' class='input' value='' size='25' tabindex='4'>" ."<input type='hidden' name='num1' value='$num1'>" ."<input type='hidden' name='num2' value='$num2'></p>"; } add_action('login_form','myplugin_add_login_fields'); function login_val() { $sum=$_POST['sum'];//用户提交的计算结果 switch($sum){ //得到正确的计算结果则直接跳出 case $_POST['num1']+$_POST['num2']:break; //未填写结果时的错误讯息 case null:wp_die('错误: 请输入验证码.');break; //计算错误时的错误讯息 default:wp_die('错误: 验证码错误,请重试.'); } } add_action('login_form_login','login_val');
更多加固方式见
https://zhuanlan.zhihu.com/p/596839956
https://www.dyxmq.cn/cloud/wordpress/wp-xmlrpc-bug.html
https://www.dyxmq.cn/cloud/wordpress/wp-login-security-solution.html
https://i.uvooc.com/webtech/wordpress-back-safe/
最新评论