WordPress用戶都知道涡扼，新建的Wordpress后臺登錄地址為 yourdomain.com/wp-login.php 也就是說，我們只要識別出來某個網(wǎng)站是使用Wordpress搭建的，那么就可以直接在這個網(wǎng)站域名的后面加上wp-login.php（或者使用 wp-admin）來打開這個網(wǎng)站的登錄頁面。這也就意味著，想要搞你Wordpress網(wǎng)站的黑客們可以非常輕松的找到你的網(wǎng)站登錄頁面爽茴，然后按照經(jīng)驗或者手里已經(jīng)掌握的你的其他賬戶的登錄信息葬凳，通過撞庫的方式黑掉你的網(wǎng)站绰垂。

我是在WordPress網(wǎng)站搭建好之后，就立即修改了默認的登錄頁面地址的火焰，最近在查看網(wǎng)站后臺的404日志的時候發(fā)現(xiàn)劲装，日志中絕大多數(shù)404記錄來自于 wp-login.php, 如下圖所示，網(wǎng)站前臺并沒有開啟注冊登錄或者投稿等等功能，所以沒有登錄鏈接地址占业，普通用戶是不可能直接打開 wp-login.php 這個頁面的绒怨，這也就意味著，這個新上線不久的小網(wǎng)站已經(jīng)被一些居心叵測的人給盯上了谦疾。（以下404日志由wordpress SEO插件 Rank Math 提供）

因此南蹂，要保護我們的Wordpress網(wǎng)站，起碼要做的一件事情就是修改默認的登錄頁面地址念恍。

修改Wordpress外貿(mào)網(wǎng)站默認登錄頁面地址

實現(xiàn)方法很多六剥，有修改主題文件 functions.php 代碼的，有修改網(wǎng)站根目錄 .htaccess 的峰伙，還有各種Wordpress插件的疗疟。對于普通用戶來講，個人建議使用插件來解決問題瞳氓。修改代碼的操作對于沒有任何經(jīng)驗的朋友來說還是有很高的風(fēng)險的策彤，搞不好整個網(wǎng)站就掛掉了，而且每次wordpress更新或者主題更新匣摘，都需要你重新再修改代碼店诗，也算是一件沒有必要的麻煩事。

修改Wordpress網(wǎng)站的默認登錄地址的插件很多音榜，直接在后臺插件 – 安裝插件頁面搜索“l(fā)ogin url”就可以找到很多可以實現(xiàn)該功能的插件必搞。國外不少文章推薦的插件是“WPS Hide Login”。這個插件的特點就是功能和設(shè)置非常簡單囊咏。

我在用的是“All in One WP Security & Firewall”中文為“WP安全”恕洲，相比較于前者，修改網(wǎng)站的登錄鏈接地址只是“WP安全”提供的一個非常小的功能梅割，你可以酌情選擇霜第。

不管是選擇哪個，直接在你的Wordpress后臺搜索“Login URL”或者“WPS Hide Login”户辞，就可以找到它們泌类。

如果你用的是“WPS Hide Login”，插件成功安裝之后底燎，在“設(shè)置”- “常規(guī)”頁面的底部刃榨，你可以修改默認的登錄鏈接地址，在Login URL的選項中双仍，直接填寫你想要的登錄鏈接地址即可枢希，如我填寫的是my-new-login-url，則我的網(wǎng)站新的登錄鏈接地址為 yourdomain.com/my-new-login-url朱沃。

只要插件激活苞轿，并且你設(shè)置了Login URL的鏈接地址茅诱，則Wordpress登錄鏈接地址 yourdomain.com/wp-login.php 自動失效。你可以在下圖所示的Redirection URL選項中搬卒，填寫 wp-login.php 頁面的重定向鏈接地址瑟俭，留空則重定向到網(wǎng)站首頁。也就是說契邀，當(dāng)有人再打開 yourdomain.com/wp-login.php 頁面的時候摆寄，會自動打開網(wǎng)站的首頁，而不是網(wǎng)站的登錄頁面坯门。

如果你用的是“WP安全”這個插件椭迎，則在“暴力破解”頁面中，可以重命名登錄頁面田盈。點擊“啟用重命名登錄頁面功能”勾選選項畜号，然后在“登錄頁鏈接”文本框中輸入你想要設(shè)置的Wordpress登錄鏈接地址，如 new-login-url允瞧，然后保存設(shè)置简软，則網(wǎng)站開始啟用新的登錄鏈接。

這樣我們就成功修改了Wordpress的登錄頁面地址述暂。

啟用新的后臺登錄鏈接地址之后痹升，忘記了設(shè)置的登錄鏈接地址怎么辦？

忘記自定義的登錄頁面鏈接地址怎么辦

建議在設(shè)置了新的登錄鏈接地址之后畦韭，就將該鏈接地址保存到瀏覽器中疼蛾。以防止后面遺忘造成不必要的麻煩。

如果你用的是插件 “WPS Hide Login”

則你需要通過主機或者服務(wù)器艺配，進入到MySQL數(shù)據(jù)庫中察郁，找到表“whl_page”，在里面可以找到你設(shè)置的登錄鏈接地址转唉；還有一種方法是皮钠，進入到主機或者服務(wù)器的文件管理系統(tǒng)中，打開插件文件夾Plugins赠法，然后直接刪除掉文件夾 “wps-hide-login”麦轰，再然后你就可以使用原來的鏈接地址 yourdomain.com/wp-login.php 登錄到你的網(wǎng)站后臺了。登錄后臺之后你可以重新安裝和設(shè)置這個插件砖织。

如果你用的是插件 WP安全款侵，請參考文檔https://www.tipsandtricks-hq.com/wordpress-security-and-firewall-plugin#advanced_features_note

修改Wordpress外貿(mào)網(wǎng)站的默認用戶名鏈接地址

雖然我已經(jīng)修改了Wordpress默認的登錄鏈接地址，但是并不意味著其他人就找不到這個登錄頁面侧纯，如下圖所示新锈，是我的小站最近嘗試登錄網(wǎng)站后臺，但是登錄失敗的日志茂蚓，從所使用的Username可以看出壕鹉，黑客在使用網(wǎng)站前臺顯示的文章作者的名字如Conway剃幌，網(wǎng)站Author鏈接地址的名字如Waimao聋涨，以及盲猜的網(wǎng)站域名郵箱 如 admin@yourdomain.com, info@yourdomain.com, conway@yourdomain.com, 等等用戶名來嘗試登錄我的網(wǎng)站晾浴。當(dāng)然，黑客所嘗試的這些用戶名在系統(tǒng)中都是不存在的牍白。

在Wordpress后臺脊凰，“用戶”-“我的個人資料”頁面，可以看到你的網(wǎng)站的登錄用戶名信息茂腥，如下圖所示狸涌，例如用戶名為“Waimao”，雖然我們可以將Wordpress網(wǎng)站前臺所顯示的作者名稱設(shè)置公開顯示為昵稱最岗，但是點擊文章作者的名稱之后帕胆，所看到的作者鏈接地址仍然會顯示出來用戶名信息，例如 yourdomain.com/author/waimao

因此般渡，接下來還要做的一件事情是修改用戶名的鏈接地址懒豹。我是直接在數(shù)據(jù)庫中修改用戶名的，如果對數(shù)據(jù)庫不熟悉的話驯用，你可以使用Wordpress插件脸秽，如Edit Author Slug （https://wordpress.org/plugins/edit-author-slug/）修改用戶名的默認鏈接地址，來隱藏你網(wǎng)站真實的用戶名蝴乔。

做好這兩點记餐，可以有效的提高網(wǎng)站的安全性，不過再強大的防盜技術(shù)也有被攻破的一天薇正，因此在注重技術(shù)方面的防盜的同時片酝，也要提高風(fēng)險意識，才能最大程度的將潛在的風(fēng)險降到最低挖腰。

想了解更多Wordpress外貿(mào)建站的相關(guān)知識請查看歪貓筆記網(wǎng)站