Looking for help?
WordPress安全设置
目录
01 手动修改WordPress后台地址
引用资料:https://blog.csdn.net/weixin_60706062/article/details/126258199
将默认的WordPress后台地址:https://域名/wp-admin 或域名/wp-login.php,修改为wp-8989.php
- 找到 网站根目录下的 wp-login.php,重命名成别的,例如:wp-8989.php
- 打开刚才重命名的文件,把里面所有的 wp-login 替换成 wp-8989
- 打开 WordPress 目录下 wp-includes ,找到其目录内的 general-template.php 文件,打开文件,把里面所有的 wp-login 全部替换成 wp-8989
- 还是 general-template.php ,搜索第一个变量 $login_url,将site_url 里面wp-8989改回wp-index.php,修改为如下:
$login_url = site_url( 'wp-admin.php', 'login' );
- 可以通过 https://域名/wp-8989.php 访问了。
02 屏蔽wlwmanifest.xml
攻击者通过构造 https://你的域名//wp-includes/wlwmanifest.xml 的URL进行GET,来判断你是否使用了Wordpress程序,以及你的后台登录地址!屏蔽掉wlwmanifest.xml
location ~ ^/wp-json/wp/v2/users {
deny all;
}
location ~ ^/wp-includes/wlwmanifest.xml {
deny all;
}
#禁用xmlrpc
location ^~ /xmlrpc.php { return 403; }
03 屏蔽用户ID
攻击者还会通过构造 < https://你的域名?author=1 //?author=2 //?author=3> 来确认你的管理员id,以此来和上面的匹配。删掉不必要的用户,增加昵称。
301 跳转到首页:rewrite ^/author/(.*) https://www.域名.com permanent;
或者在所用主题的functions.php文件的?>前面添加以下代码::
function my_author_link() {
return home_url( '/' );
}
add_filter( 'author_link', 'my_author_link' );
//其中home_url( '/' )是跳转到网站首页,这里也可以设置为指定的页面,比如about页面,可以为home_url( 'about' )。
04 修改主题名称
建议站长在上传程序前把主题的名称改一下,避免某些熟悉这个主题漏洞的人对网站进行攻击。