最近發(fā)現(xiàn)大量的WordPress站點(diǎn)后臺(tái)被黑客入侵,查看站點(diǎn)訪問(wèn)日志發(fā)現(xiàn)黑客大量訪問(wèn)后臺(tái)路徑頁(yè)面wp-login.php通過(guò)暴力破解入侵站點(diǎn)。
看到上圖的站點(diǎn)訪問(wèn)日志記錄,后臺(tái)頁(yè)面訪問(wèn)時(shí)無(wú)時(shí)無(wú)刻地被訪問(wèn)。除了存在一定的安全隱患外還嚴(yán)重影響站點(diǎn)的訪問(wèn)速度。由于WordPress免費(fèi)開(kāi)源,全世界有成千上萬(wàn)的網(wǎng)站都是用WordPress架設(shè),黑客也是看中這點(diǎn),所以網(wǎng)站收到攻擊的機(jī)率很大。為了徹底避免這種情況發(fā)生可以把后臺(tái)的登陸路徑修改避免站點(diǎn)收到黑客攻擊。
解決辦法:
一、修改wp-login.php文件名字。
wp-login.php這個(gè)文件存放在站點(diǎn)的根目錄下,首先將該文件更改名字。如修改為abc.php,先讓黑客無(wú)法訪問(wèn)到wp-login.php這個(gè)文件。
二、修改WorkPress的后臺(tái)登陸路徑。
別以為wp-login.php就是站點(diǎn)的后臺(tái),登陸后臺(tái)的路徑處理使用“域名/wp-login.php”進(jìn)行登陸外,還可以通過(guò)“域名/wp-admin/或者域名/wp-admin/index.php”進(jìn)行登陸。
首先將wp-admin目錄下的index.php更改名字,如修改為abc.php。然后再重新創(chuàng)建一個(gè)空白的index.php。接著是修改根目錄下的wp-signup.php和/wp-includes/general-template.php 將里面所有“wp-login.php”字段修改為你所更改的后臺(tái)文件名字,如abc.php。
三、如果你安裝了其他的主題(theme),有可能需要也需要更改相關(guān)主題中的文件中帶有“wp-login.php”字段修改為你更改的后臺(tái)文件名字。
經(jīng)過(guò)上面三個(gè)步驟的修改,你可以通過(guò)http://域名/wp-admin/abc.php登陸管理你的后臺(tái),(注:abc.php為你修改了得后臺(tái)登陸文件名)
完成以上步驟后才算大功告成,黑客再也不知道你的后臺(tái)路徑無(wú)法通過(guò)暴力破解入侵你的WordPress。