张力-实战网络营销导师
专注于网络营销策划+Wordpress建站,只做有思想的高价值网站,只提供有担当的营销服务!
文章478浏览1376627本站已运行615

你的wordpress网站一直是高危状态 你知道吗?

首先申明这是一篇技术文章,不愿意看技术文章的朋友可以略过!

大家知道我博客一直使用的是wordpress程序,而且主题也是我自己做的ZL-didiao主题,做为博客主,我们总在担心我们的博客网站是否安全,同时我也一直再找一个比较好的安全防护方法。我们一直都以为黑客们不知道我们网站的用户名,就算知道后台登陆地址也没事,直到今天才发现,使用WordPress建站的博主们的用户名都是可见的,除非采取了其他措施来保护。

大部分博主的后台路径都是:http://网站地址/wp-login.php。

大部分博主的后台登陆用户名都可以这样查看到:

http://网站地址/?author=1,多用户的可以把1变为2、3、4、5等,就可以在地址栏查看到各个用户名。

知道了后台登陆地址和用户名后,剩下的就是用暴力破解密码了,如果没有任何防护的话,成功指数相当高。

为了保障我们的后台安全,建议安装一个Limit Login Attempts插件,来限制强行登陆的次数,同时修改后台登陆地址和隐藏我们的用户名。

修改后台登陆地址:

我在网上找了很多方法,大部分就是在所用主题的functions.php文件的?>前面添加以下代码即可实现。

add_action(‘login_enqueue_scripts’,’login_protection’);

function login_protection(){

if($_GET['word'] != ‘press’)header(‘Location: http://网站地址/’);

}

但经本人测试,在本地WIN主机测试是成功的,但是上传到Linux服务器却发生错误:Cannot modify header information,据说是因为header()要求太苛刻。

本人觉得既然是header()出错,而且它只是用来跳转而已,何不用JS实现跳转呢,于是修改为:

function login_protection(){

if($_GET['word'] != ‘press’){

$url = “http://网站地址”;

echo “<script language=’javascripttype=’text/javascript’>”;

echo “window.location.href=’$url'”;

echo “</script>”;

}

}

add_action(‘login_enqueue_scripts’,’login_protection’);

上传到服务器一测试,果然成功了,登陆http://网站地址/wp-login.php会直接跳转到我们指定的页面,要登录必须是http://网站地址/wp-login.php?word=press才行,而word、press、跳转的页面都是我们自己设置的,而且word、press只有自己知道,大大提高了其安全性。

隐藏用户名:

这个也同样道理,直接将“作者文章列表(?author=1)”跳转到指定的页面,这样就可以做到隐藏用户名的目的。

同样在所用主题的functions.php文件的?>前面添加以下代码:

add_filter( ‘author_link’, ‘my_author_link’ );

function my_author_link() {

return home_url( ‘/’ );

}

其中home_url( ‘/’ )是跳转到主页,这里也可以设置为指定的页面,比如grda页面,可以为home_url( ‘grda’ )。

安装了限制强行登录次数的插件、修改了后台登陆的地址和隐藏了用户名,我相信这个时候的系统应该还是挺安全的。

写给哪些用wordpress程序做站的朋友们,为了你的网站安全,千万不要错过看了!

您还未添加分享代码,请到主题选项中,添加百度分享代码!

张力

广告
发表我的评论
取消评论
表情 签到
流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌

Hi,您需要填写昵称和邮箱!

(17)个小伙伴在吐槽
  1. 名草一名
    名草一名   Google Chrome 30.0.1599.101   Windows 7
    2015-06-18 22:15

    赶紧去测试一下,做好安全措施!

    • 张力
      张力   Google Chrome 39.0.2171.95   Windows 7
      2015-06-19 14:23

      @名草一名 嗯,网站安全还是很重要的!

  2. husinger
    husinger   Google Chrome 39.0.2171.99   Windows 7
    2015-04-12 15:51

    你正出售的ZL-didiao主题已经修正过这些漏洞了吗?

    • 张力
      张力   Google Chrome 39.0.2171.95   Windows 7
      2015-04-12 16:41

      @husinger 每个人的设置不同,不能一概而论,主题是没有漏洞的,只是程序的安全设置而已!

  3. 什么牌子的蜂蜜好
    什么牌子的蜂蜜好   Google Chrome 31.0.1650.63   Windows XP
    2015-03-21 16:23

    点赞、打酱油、草泥马的表情插件是什么???我的博客一直在找!!!

  4. 辛帅SEO
    辛帅SEO   Google Chrome 40.0.2214.93   Windows 7
    2015-01-30 09:06

    确实挺不错的

  5. 名人名言
    名人名言   Google Chrome 31.0.1650.63   Windows 7
    2015-01-27 01:39

    太感谢了,现在就去整去。

  6. 全球眼
    全球眼   Google Chrome 33.0.1750.146   Windows XP
    2015-01-26 22:55

    值得去完成~现在的确黑~

  7. 网站源码
    网站源码   Google Chrome 38.0.2125.122   Windows 7
    2015-01-26 12:45

    wordpress的安全性 比dedecms好多了

    • 张力
      张力   Google Chrome 39.0.2171.95   Windows 7
      2015-01-26 12:56

      @网站源码 那确实,一直都在用wordpress

  8. jiangnan
    jiangnan   Google Chrome 31.0.1650.63   Windows 8
    2015-01-23 12:07

    牛B的人哦啊

  9. jiangnan
    jiangnan   Google Chrome 31.0.1650.63   Windows 8
    2015-01-23 11:50

    鼓励鼓励

  10. 古艺袋
    古艺袋   Internet Explorer 10.0   Windows 7
    2015-01-22 13:25

    琢磨了半天。太给力

  11. 好运品牌鞋
    好运品牌鞋   Google Chrome 31.0.1650.63   Windows XP
    2015-01-20 17:04

    还是有点复杂的。得慢慢细看哦。

  12. 阿兴博客
    阿兴博客   Google Chrome 31.0.1650.63   Windows XP
    2015-01-19 13:02

    很给力,实用

  13. 奇迹
    奇迹   Google Chrome 30.0.0.0   Android 4.4.2
    2015-01-17 20:15

    支持一下

隐藏边栏