wordpress 安全问题

1.修改默认登录地址（wp-admin）：

add_action('login_enqueue_scripts','login_protection');

function login_protection(){

　　if($_GET['word']!='val')header('location:www.yoursite.com');

　　//word,word,www.yousite.com 三个参数可更改
}

将上述代码复制到主题文件夹下的functions.php，那么你的唯一登录地址为：www.yousite.com/wp-login.php?word=val ,默认访问地址访问时则会跳转到 www.yousite.com（可更改）；

当然，如果觉得更改后的域名太难记，我们可以通过.htaccess文件来定制登录路径：

RedirectMatch 301 ^/denglu/(.*)$ /wp-login.php?word=$1

将上述代码放入.htaccess文件中，那么当你访问www.yoursite.com/denglu/val 时，将会自动跳转到唯一登录url，从而实现登录地址定制。

 

 

2.防止url链接取得用户名：

wordpress 的默认管理用户名为admin，只要访问www.yoursite.com/?author=1 即可取得你的用户名admin ,通过暴力密码破解，攻陷你的网站；

即使你修改删除了默认管理员，新建了一个不同的用户名，也可通过此手段获取，只需改变参数，便能得到，故：

add_filter('author_link','my_author_link');

　　functionmy_author_link(){

　　returnhome_url('/');

}

将上述代码放入functions.php下，访问此url链接将会跳转至主页。