你的网站有问题吗?请看看吧
发布:smiling 来源: PHP粉丝网 添加日期:2015-02-26 16:36:55 浏览: 评论:0
大家知道我博客一直使用的是wordpress程序,而且主题也是我自己做的ZL-didiao主题,做为博客主,我们总在担心我们的博客网站是否安全,同时我也一直再找一个比较好的安全防护方法。我们一直都以为黑客们不知道我们网站的用户名,就算知道后台登陆地址也没事,直到今天才发现,使用WordPress建站的博主们的用户名都是可见的,除非采取了其他措施来保护。大部分博主的后台路径都是:http://网站地址/wp-login.php。
大部分博主的后台登陆用户名都可以这样查看到:http://网站地址/?author=1,多用户的可以把1变为2、3、4、5等,就可以在地址栏查看到各个用户名。知道了后台登陆地址和用户名后,剩下的就是用暴力破解密码了,如果没有任何防护的话,成功指数相当高。
为了保障我们的后台安全,建议安装一个Limit Login Attempts插件,来限制强行登陆的次数,同时修改后台登陆地址和隐藏我们的用户名。
修改后台登陆地址:
我在网上找了很多方法,大部分就是在所用主题的functions.php文件的?>前面添加以下代码即可实现。
- add_action(‘login_enqueue_scripts’,’login_protection’);
- function login_protection(){
- if($_GET[‘word‘] != ‘press’)header(‘Location: http://网站地址/’);
- }//phpfensi.com
但经本人测试,在本地WIN主机测试是成功的,但是上传到Linux服务器却发生错误:Cannot modify header information,据说是因为header()要求太苛刻。
本人觉得既然是header()出错,而且它只是用来跳转而已,何不用JS实现跳转呢,于是修改为:
- function login_protection(){
- if($_GET[‘word’] != ‘press’){
- $url = “http://网站地址”;
- echo “
- }
- }
- add_action(‘login_enqueue_scripts’,’login_protection’);
上传到服务器一测试,果然成功了,登陆http://网站地址/wp-login.php会直接跳转到我们指定的页面,要登录必须是http://网站地址/wp-login.php?word=press才行,而word、press、跳转的页面都是我们自己设置的,而且word、press只有自己知道,大大提高了其安全性。
隐藏用户名:
这个也同样道理,直接将“作者文章列表(?author=1)”跳转到指定的页面,这样就可以做到隐藏用户名的目的.
同样在所用主题的functions.php文件的?>前面添加以下代码:
- add_filter( ‘author_link’, ‘my_author_link’ );
- function my_author_link() {
- return home_url( ‘/’ );
- }
其中home_url( ‘/’ )是跳转到主页,这里也可以设置为指定的页面,比如grda页面,可以为home_url( ‘grda’ )。
安装了限制强行登录次数的插件、修改了后台登陆的地址和隐藏了用户名,我相信这个时候的系统应该还是挺安全的。
写给哪些用wordpress程序做站的朋友们,为了你的网站安全,千万不要错过看了!
Tags: wordpress程序 wordpress安全
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)