wordpress网站安全之修改wp-login.php登录地址的几种方法

昨天楚狂人在文章中说了最近网站频繁受到无效流量的攻击，消耗了大量的云服务器资源，比如我的阿里云服务器最近一度内存占用超过80%，CPU占用超过40%，都远远超过实际用量。其中黑客除了通过xmlrpc.php攻击之外，其实更多的还是想通过wp-login.php破解网站登录密码，迫使我不得不解决这个问题。

那么我们如何防范这种攻击呢？目前网上有以下几种方法，主要原理就是修改网站登录地址，把wp-login.php改为其他名字，从而达到避免攻击的目的，一种方法是手工该代码，另一种方法是使用wordpress插件。

一、修改wp-login.php文件

1、修改WordPress默认登陆文件名wp-login.php：

①、修改在网站根目录下的wp-login.php文件名为wp-denglu.php（或者其他名字），并将该文件wp-denglu.php中出现的字符wp-login.php全部改为wp-denglu.php；
②、修改根目录下的wp-includes/general-template.php文件。

除了下面这段不要动

$login_url = site_url('wp-login.php', 'login');$login_url = site_url('wp-login.php', 'login');

该文件其他的wp-login.php替换为wp-denglu.php，完成修改后覆盖原文件保存，这样就可以避免黑客知道你的登陆地址！

2、修改主题的funtions.php

①如果你觉得上面的仿佛有点繁琐，可以用这个方法，在主题的funtions.php 的最后一个 ?> 前添加以下代码：

//wp-login.php添加相关参数 baidu.com
add_action('login_enqueue_scripts','login_protection'); 
function login_protection(){ 
if($_GET['denglu'] != 'yemian')header('Location: http:/baidu.com/'); 
}

②此时你的wordpress登陆地址应该是 http://域名/wp-login.php?denglu=yemian 。

?denglu=yemian就是参数名，如果没有参数?denglu=yemian，那么就跳转到http://baidu.com/。

你可以修改的地方就是第四行的denglu、yemian以及http://baidu.com/。

二、插件修改wordpress的wp-login.php地址：

如果你不喜欢总是频繁的手工修改代码，也可以通过插件修改wordpress的wp-login.php地址防止黑客攻击。类似功能的wordpress插件挺多的，比如：

1、WPS Hide Login插件：

启用WPS Hide Login后系统会自动跳转到“设置-常规”页面下，你也可以手动进入该页面对插件进行设置，插件的设置十分简单，你只需要在方框中把原来的登录地址改为自己所要设置的字符即可，比如这里插件默认的“login”。设置完成后你便可以通过路径“http://域名/login”访问你的网站后台管理界面了。

2、Rename wp-login.php插件：

和前一个插件设置方法基本一致，自己修改下登录地址的字符并保存即可。

3、Limit Login Attempts插件：

在wordpress系统默认情况下，允许无限次的登录尝试，这样是非常不安全的，那样会让密码被暴力破解。Limit Login Attempts 帮我们解决了这个问题，它可以限制登录尝试的次数来防止暴力破解，增强 WordPress 的安全系数。Limit Login Attempts插件对每个IP地址设置了一个登陆次数，如果超过这个次数，就会在一个特定的时间范围内，比如24小时之内，将这个IP地址放入黑名单。这样也有助于减轻云服务器的压力。

以上三款保护wp-login.php登录地址的插件只是楚狂人所了解到的，除此之外当然也还有其他安全插件可以起到类似的作用，但是我们只要一款就够用了，至于如何选择大家可以根据自己的喜好。这几款插件都可以在wordpress后台-插件—安装插件，然后搜索获取，都是通过了官方审核的，可以保证安全。