为什么及如何修改WordPress默认登录链接

为什么及如何修改WordPress默认注册登录链接

一个强大的、独特的密码可以帮助防止对你的WordPress网站的未授权访问。然而,攻击者有聪明的方法来绕过这一点。因此,这并不总是足以适当地保护你的网站免受攻击。

换句话说,密码往往不足以保护网站免受攻击。

幸运的是,你可以通过把你的WordPress登录页面移到一个新的URL上,来减少黑客进入你的网站的风险。这可以使你处于一个更好的位置来防御黑客和暴力攻击。

如果你对 WordPress 不太熟悉,这可能没什么意义。因此,本文将详细介绍为什么要考虑更改 WordPress 登录网址、如何在丢失登录网址时找到它,以及最重要的–几种修改网址以提高安全性的方法。

为什么修改WordPress默认登录链接

由于WordPress没有隐藏你的登录页面,任何用户都可以找到它,只要他们知道WordPress是如何构造它的URL的。一个登录页面的默认结构看起来像这样:

https://example.com/wp-login.php

这意味着当用户将你的网站名称插入上述URL结构时,他们应该在浏览器中看到一个页面,提示他们登录到你的网站后端:

WordPress登录页面

当然,用户会缺乏进入你的网站的凭证。

为了简单起见,许多人喜欢坚持使用这种默认的wp-login结构来登录WordPress。然而,如果让它保持原样,你实际上是把你的一半登录凭证交给了攻击者。

如果你的密码很普通,很弱,很容易被猜中,这就特别危险。简而言之,这是一个不必要的漏洞,很容易解决。

WPScan 发现,WordPress 在 2024 年有超过 50,000 个漏洞。绝大多数都是在 WordPress 插件中发现的,而且每年都会发现数百个甚至数千个漏洞。
WordPress 漏洞报告
简而言之,现在是加强网站安全的时候了。

你可以通过改变你的WordPress登录URL来更彻底地保护你的登录页面。因此,你可以防止未经授权访问你的网站,减少暴力攻击的风险。

如何找到你的WordPress登录URL

正如我们在上一节提到的,WordPress使用一个标准的登录链接结构,看起来像这样:

https://example.com/wp-login.php

所以,你所要做的就是把后缀加到你的域名上,然后你应该登陆到你的登录页面。你也可以在登出时尝试访问你的WordPress仪表板来找到你的登录页面。只要在搜索栏中输入 “yourwebsite.com/wp-admin“,你就会登陆到相同的登录页面。

然而,请记住,有些虚拟主机出于安全原因会自动改变你的WordPress登录页面。因此,你可能已经有一个自定义的登录URL。我们将在下一节告诉你如何找到它。

如何找到一个自定义的WordPress登录链接

如果你的虚拟主机改变了你的登录网址,你通常可以从电子邮件中找回它,或者在你的控制面板中找到它。有些主机甚至包括一键访问WordPress管理面板的链接,这可能是有用的。

然而,如果你不能使用这些选项之一来识别你的自定义登录网址,你可以手动找到它。你所需要做的就是用SFTP连接到你的网站。

你可以使用像FileZilla这样的客户端。请记住,你将需要你的FTP凭证,你可以从你的虚拟主机上得到。然后,打开包含登录链接的根文件夹。这个文件夹通常被标记为public_html(这个似乎所使用的服务器环境)。

filezilla网站根文件夹

找到并打开wp-login.php文件,注意查看读作site_url的字符串。 这将导致一行代码,指定你的自定义登录URL。

如何修改WordPress登录链接

现在你知道在哪里可以找到你的WordPress登录网址,让我们来看看你可以用两种简单的方法来改变它。

方法1:用插件改变你的WordPress登录链接

改变你的WordPress登录网址的最简单的方法是使用一个插件。幸运的是,有很多插件可以实现这个功能。

WPS Hide Login是一个伟大的选择,因为它是轻量级的。它允许你安全地将你的WordPress管理登录页面改为任何你想要的东西。

WPS Hide Login

更好的是,WPS隐藏登录还可以防止所有已登录的用户访问wp-admin目录和wp-login.php

要开始使用,你需要安装并激活该插件。然后,进入设置WPS Hide Login

wps hide login插件设置

在这里,你可以输入一个新的登录网址,然后点击保存更改。 就这么简单。这个插件也有一个相当活跃的支持论坛,如果你需要任何帮助,你可以去看看。

请记住,一旦这个插件被激活,并且你进行了修改,你将无法访问你的旧登录屏幕。相反,你将被引导到你创建的新登录界面。

根据我们上面的例子,你现在需要在你的域名后面输入”/login“来访问你的网站。此外,请记住,如果你停用该插件,你的网站将恢复到使用wp-admin和wp-login.php。

方法2:通过编辑你的wp-login.php文件改变你的WordPress登录链接

这第二种方法有点棘手,只适合有经验的用户。因此,在你开始下面的步骤之前,最好先对你的网站做一个新的备份,以防出现什么问题。

同样重要的是要知道,当你更新你的主题时,你的改变可能会恢复到以前的设置。然而,你可以通过使用一个子主题来避免这个问题。

首先,你需要访问你的根文件夹,你可以通过你的文件管理器或使用FTP来做到这一点。同样,你要找的是名为public_html的文件夹。

filezilla网站根文件夹

在根目录下,找到wp-login.php文件夹。这是生成你的网站登录页面的代码的地方:

wp登录php文件

一旦你找到了这个文件,你可以把它的副本下载到你的电脑上。然后,用Sublime或Notepad++等文本编辑器打开该文件夹。

理想情况下,最好是使用一个提供 “搜索和替换“工具的编辑器。这样,你可以更迅速地改变所有现有的WordPress登录URL实例。

如果你能使用它,使用搜索工具找到wp_login_url字符串的每个实例:

编辑 wp-login php文件

然后,将这些字符串改为你想使用的新的登录链接。记住,你可以保持它的简单和直接,只要它是原创的(并且与默认的不同)。例如,你可能更喜欢access.php或wp-new-login这样的东西。

一旦你对你的修改满意,保存并关闭编辑器。然后,用你选择的新URL重命名该文件(如access.php)。

现在,你可以使用你的FTP客户端或文件管理器将新文件上传到你的根目录。只需从你的电脑中选择修改后的登录文件。然后,使用 “login_url “过滤钩子注册新的登录文件。这使你可以使用任何页面作为你的登录页面,只要它包含一个登录表格。

要做到这一点,请导航到wp-content > themes,找到你的主题功能文件。 选择你的活动主题并打开 functions.php 文件。

wordpress主题函数文件

现在你在这里,你可以把下面这行代码粘贴到文件中:

/*
*Change WP Login file URL using “login_url” filter hook
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}

然后记得保存你的修改。

在删除旧文件之前,测试你的新登录是很重要的。要做到这一点,只需输入你的网站的域名,并在最后加上你的新的登录网址。然后,如果你看到WordPress的登录表格,你可以删除原来的wp-login.php文件。

保护WordPress登录进程的其他方法

改变你的WordPress登录网址对于加强你的网站的安全是很好的。然而,这并不是你能做的全部。这里有一些其他的方法来保护你的WordPress登录过程。

1. 限制登录尝试

当你限制登录尝试时,你可以阻止黑客和机器人试图通过尝试数百个用户名和密码来访问你的网站。这一点特别重要,因为暴力攻击是第二种最常见的在线威胁类型

做到这一点的最简单方法是使用一个像Limit Login Attempts Reloaded

Limit Login Attempts Reloaded插件

这个插件在你的网站上被激活后就开始工作了。默认情况下,用户在被锁在WordPress之外之前有四次登录的机会。然而,你可以访问该插件的设置来修改这一点:

limit login attempts插件设置

在这里,你也可以决定用户被锁定的时间长度。在你的仪表板上,你会看到有多少暴力攻击被该插件阻止了。此外,你可以切换到日志选项卡,手动屏蔽特定的IP地址。

2. 实施二步认证

二步认证要求用户提交的不仅仅是他们的标准登录凭证。相反,用户被要求实时生成第二个密钥。这通常是一个通过SMS短信、电子邮件或应用程序发送的代码:

二步认证示例

由于机器人和黑客无法产生第二个密钥,这是防止未经授权访问你的网站的一个好方法。在你的网站上添加这一功能的最好方法之一是使用像miniOrange这样的插件:

miniorange two factor authentication插件

一旦激活,在你的管理区进入新的miniOrange 2-Factor链接,找到Account部分。为了配置该插件,你必须注册一个账户。这完全是免费的,只需要一分钟。然后,你会收到一个代码,使你能够验证你的电子邮件。

在这个阶段,导航到Two Factor,使用Setup Two Factor 标签。在这里,你可以选择你喜欢的认证方法。例如,你可以使用谷歌认证器应用程序、短信、QR码或安全问题:

miniorange 2fa插件设置

最后,如果你切换到设置,你可以为所有用户、特定用户启用二步认证,并在登录页面显示你的二步提示。

3. 使用CAPTCHA

CAPTCHA或reCAPTCHA为你的网站提供了一个额外的安全层。通常情况下,它被用来控制对敏感页面的访问。更重要的是,它可以阻止机器人在你的网站上创建垃圾邮件或通过订单表格或登录表格访问个人信息。

同样,一个插件是在你的网站上启用验证码的最简单方法。有了reCaptcha,你可以在你喜欢的任何表格中添加一个简单的验证码复选框:

wordpress recaptcha插件

你需要在WordPress上安装并激活该插件。然后,在谷歌注册你的网站,以检索你的谷歌API密钥。在WordPress,你可以前往Google Captcha > Settings,输入你的密钥,并确定哪些表单应该使用验证码。

4. 实施强密码

改变WordPress的登录URL是个好主意,这样你就不会使用容易猜到的 “admin “后缀了。然而,如果你继续使用弱的或重复的密码,使你的账户处于更大的攻击风险中,你的努力就白费了。

事实上,只有24%的美国网络用户为他们的每个在线账户使用不同的密码。同时,只有44%的用户使用密码管理器来安全地生成和存储密码。

今后,最好选择大、小写字母结合数字和特殊字符的长密码。我们还建议使用LastPass这样的密码管理器,以获得额外的安全感:

lastpass

另外,鼓励有访问权的用户使用强密码也很重要。你可以在用户注册你的网站时收到的欢迎邮件中说明这一点。

提高 WordPress 安全性的更多技巧

作为市场上最流行的内容管理系统(CMS),WordPress 也是最常受到攻击的系统之一,这是可以理解的。

我们这么说并不是要吓唬你不要使用它,只是想让你意识到全方位保护 WordPress 网站安全的重要性。

为了确保登录阶段之外的整体安全,我们向您推荐另一款功能强大的自动化插件:Jetpack

确保您的SSL/TLS证书是最新的,这是确保您的重要网站和用户数据得到加密的最佳方式。这通常也会对网站的搜索引擎优化(SEO)产生积极影响。

了解如何使用 WordPress 插件 Really Simple SSL

想更深入地了解 WordPress 的安全性?查看我们的《WordPress 安全须知》指南,了解更多网站加固方法。

小结

在你的WordPress网站上确保万无一失的安全,这可能是一个挑战。幸运的是,你可以通过改变你的WordPress登录URL来做到这一点。这样,你的登录页面几乎不可能被找到,除非你向用户提供你新的、自定义的登录URL。

这里有两种改变WordPress登录URL的方法:

  1. 使用一个像WPS Hide Login插件。
  2. 编辑你的wp-login.php文件。

评论留言