wordpress 安全问题
1.修改默认登录地址(wp-admin):
add_action('login_enqueue_scripts','login_protection'); function login_protection(){ if($_GET['word']!='val')header('location:www.yoursite.com');
//word,word,www.yousite.com 三个参数可更改 }
将上述代码复制到主题文件夹下的functions.php,那么你的唯一登录地址为:www.yousite.com/wp-login.php?word=val ,默认访问地址访问时则会跳转到 www.yousite.com(可更改);
当然,如果觉得更改后的域名太难记,我们可以通过.htaccess文件来定制登录路径:
RedirectMatch 301 ^/denglu/(.*)$ /wp-login.php?word=$1
将上述代码放入.htaccess文件中,那么当你访问www.yoursite.com/denglu/val 时,将会自动跳转到唯一登录url,从而实现登录地址定制。
2.防止url链接取得用户名:
wordpress 的默认管理用户名为admin,只要访问www.yoursite.com/?author=1 即可取得你的用户名admin ,通过暴力密码破解,攻陷你的网站;
即使你修改删除了默认管理员,新建了一个不同的用户名,也可通过此手段获取,只需改变参数,便能得到,故:
add_filter('author_link','my_author_link'); functionmy_author_link(){ returnhome_url('/'); }
将上述代码放入functions.php下,访问此url链接将会跳转至主页。