WordPress 站点 Wp-Login.Php 登录页面,防止被机器扫描爆破终极方法

原创 于 2024-06-11 18:00:00 发布 · 1.7k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开发语言 #WordPress #WordPress安全 #WordPress登录 #wp-login安全

本文分享了防止WordPress站点的wp-login.php登录页面被机器扫描爆破的终极方法,包括Nginx配置封禁、WordPress代码封禁和借助免费CDN的WAF保护。详细介绍了每种方法的实现步骤和优势,特别是CDN层面对wp-login.php的阻断,以及在需要访问时如何使用hosts文件强制回源。

最近好像不少的 WordPress 站点又迎来了一波疯狂的 wp-login.php 登录页面暴力破解,明月使用的 Dragon 主题也迅速的做出了安全防范响应,第一时间就增强了代码上的安全防御能力。明月代运维的几个站点也在这方面加强了防范措施,基本上实现了永久解决这一顽疾的目标,今天明月就总结出来分享给大家,希望可以帮助到各位站长们。

WordPress 站点 wp-login.php 登录页面,防止被机器扫描爆破终极方法

目前网上大部分的教程都是“隐藏或变换后台 wp-login.php 登录网址”来防范被暴力破解的,但此方法是掩耳盗铃,仅仅只是隐藏和变换了后台登录地址而已,对于那些使用机器批量扫描直接 post 爆破登录的来说,防护能力为零。当然,还有使用Login LockDown 插件来限制登录错误次数的,据说是效果不错。但明月认为依旧是治标不治本的方法。

理论上来说彻底的封禁 wp-login.php 登录页面才可防止各种 post 扫描爆破,使自己的网站更加安全!这种方法目前有两种:

1、Nginx 下封禁 wp-login.php 登录页面

可以利用 nginx 配置来直接禁止 wp-login.php 的访问请求。在你域名 conf 中,在其他 location 之前,再加多下面

最低0.47元/天 解锁文章
玩转代码|WordPress防止暴力破解管理员密码
Jum的博客
05-25 2671
一、author页面地址 author页面地址为 http://yoursite/?author=1 ID是自增的 请求这个地址会 301 到一个url,这个url里包含了作者的用户名。虽然不算漏洞,还是给了爆破者很大的便利。 301指向的url : .../author/你的后台登录用户名 解决方案 1.在主题代码里实现,只要访问主页url后头有author参数就让他跳到主页 将下面的代码添加到当前主题的functions.php 文件:
2024年网络安全最新干货 Wordpress网站渗透方法指南_wordpress渗透(1)
最新发布
2401_84302628的博客
05-01 1423
feed=rss2author=1或者​​​​​​​或者​​​​​​​## 注册启用。
干货 | Wordpress网站渗透方法指南
leah126的博客
05-03 3753
如果您遇到使用 WordPress 的网站,您会怎么做,渗透思路和安全检测思路?
WordPress教程:禁止WordPress wp-login.php 登录页面防止被破解登录
Android、HTML、CSS、JS、JAVA、Kotlin、PHP等技术
05-23 1361
但是这样也是有隐患的,比如有被破解机器人进行猜测密码,一来可能导致我们账户安全泄露,或者是提高我们的服务器的负载。直接打开 “wp-admin”或者 “wp-login.php” 目录和文件是直接可以进入后台登入入口。如果我们直接输入开始提到的wp-login.php是无法打开的。如果我们确保安全也可以彻底的禁止掉wp-login.php入口。一般来说,我们设置复杂的密码,后再用开始的加上入口后缀即可。我们随便选择哪个都相似的,然后我们用这样方式登入。
wp-login.php密码破解,六种方法解决WordPress忘记密码
weixin_42361026的博客
03-27 5634
1、重装WordPress。我们不推荐这种方法,重装还要下载安装文件比较麻烦。2、使用找回密码功能。WordPress 本身支持邮件取回密码功能,如果管理员账户的电子邮件有效,在后台登录界面,点击“忘记密码?”链接,输入正确邮件地址后,即可收到一封含重置密码的邮件。3、把WP目录下的wp-config.php文件删除,然后重新访问网站,这会让你重新进行最后一个安装步骤,这样就可以得到新的密码。4、...
wordpresd免登录发布接口php_屏蔽修改wp-login.php登录入口确保WordPress网站后台安全...
weixin_39614675的博客
12-21 1198
WordPress程序默认的后台地址wp-login.php,虽然我们的密码设置比较复杂,但是如果被软件一直扫后台入口,一来影响网站的速度增加服务器的负担,二来万一被扫到密码,那就处于不安全的境地。所以,我们最好将后台地址入口隐藏屏蔽起来,我们可以通过下面的命令实现隐蔽wp-login.php入口。第一、脚本案例add_action(‘login_enqueue_scripts’,’login_p...
攻击wp login.php,设置认证访问wp-login.php避免网络攻击
weixin_39946798的博客
03-17 765
查看nginx的access.log记录,发现一直都有很多IP POST方式访问wp-login.php文件,很烦人,所以就打算给这个文件设置认证权限访问。一、用htpasswd命令生成受权帐号和密码文件,命令如下:root@itkylin.com:~# htpasswd -c /etc/nginx/passwd_www.itkylin.com.db admin假如你用的系统没有htpasswd命...
Wordpress网站渗透测试(进阶详细思路)
weixin_51957047的博客
05-26 8585
web渗透测试,wordpress网站渗透测试思路
WordPress 远程命令执行漏洞
weixin_47493074的博客
10-01 664
WordPress 远程命令执行漏洞
wordpress一次渗透
帅醉了的博客
11-22 2383
使用插件的时候并没有显示是wordpress 对目录进行扫描
wp-login.php 404页面,wordpress隐藏后台登陆界面,自动跳转首页或404
weixin_29571873的博客
03-11 1029
原标题:wordpress隐藏后台登陆界面,自动跳转首页或404我们用wordpress程序安装建站后发现所有人的网站后台都是自己域名/wp-admin,这样是否存在安全隐患?那么我们如何来修改或是隐藏呢?下面我把自己的经验分享给大家。首先我们要知道管理后台登录链接的文件是那个?要在我们的FTP里找到他,先下载备份。这样就算我们测试错误还是可以恢复。wordpress隐藏后台登陆界面下面步骤:1、...
无法访问wp login.php,wordpress防黑 制作wp-login.php访问限制
weixin_35664081的博客
03-20 944
众所周知的wordpress系统的默认后台登录界面地址为域名/wp-login.php 直接将后台暴露给别有用心的访客是非常不安全的。因为现在的密码穷举器太多了,说不定什么时候你就中招了。为了避免后台直接暴露在别人眼前,我们可以给wp-login.php做一个访问限制……方法1:更改wp-login.php文件打开wordpress根目录找到wp-login.php文件用编辑器打开在55行左右找到...
WordPress安全 - 隐藏保护wp-login.php后台登陆入口
办公研究所
07-21 1770
我们在基本的设置账户用户名和密码安全基础上,最好把这个登录入口限制访问或者隐藏,之前也有看到一些教程说安装插件,比如安装Stealth Login Page插件可以设置登录页面后的参数,与我要设置的非插件实现一样的。也可以使用Limit Login Attempts限制登录次数,如果超过一定次数就限制访问。 我们能不用插件就不用插件,通过修改function.php文档的方法解决 add_action('login_enqueue_scripts','login_protection'); funct
wp-login.php密码破解,WordPress忘记密码6种解决方法 | 吴文辉博客
weixin_34835470的博客
03-27 2140
下面的六种方法都可以解决WordPress忘记密码的问题,你可以根据自身情况任选一种。1、重装WordPress。我们不推荐这种方法,重装还要下载安装文件比较麻烦。2、使用找回密码功能。WordPress 本身支持邮件取回密码功能,如果管理员账户的电子邮件有效,在后台登录界面,点击“忘记密码?”链接,输入正确邮件地址后,即可收到一封含重置密码的邮件。3、把WP目录下的wp-config.php文件...
攻击wp login.php,隐藏WordPress登录地址解决入口攻击爆破问题
weixin_32259855的博客
03-17 1225
WordPress后台登录地址默认安装好后都为[域名]/wp-login.php,如果这个地址不就行修改话就会发现隔三差五有人使用工具进行爆破,所以隐藏登录页面是有必要的。一、通过修改login.php进行隐藏切换到网站根目录 vim wp-login.php打开文件;在...
wp+login.php默认密码,更改wordpress的默认登录页面名称wp-login
weixin_29997657的博客
03-20 1379
by jack on 2020年4月23日好多人问我怎么修改接下来,咱们就修改WordPress登陆文件名wp-login.php后缀。我们一共需要修改2个文件,其中当然包括wp-login.php1.先在网站根目录下把wp-login.php文件改成你想要的名字,例如houtai.php,然后用编辑器打开这个文件。替换所有wp-login字符为houtai。2.然后找到wp-includes目录...
wp login.php 打不开,阻止对wp login.php 暴力攻击
weixin_29928877的博客
03-12 427
使用Nginx的Limit Req模块成功挫败蛮力攻击。nginx设置全局设置在http{ .. }块下的/etc/nginx/nginx . conf文件中,添加以下内容limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;10m的区域大小,1mb可以保存16000状态,这意味着16000个唯一的ip地址,如果你有流量非常高的站点,你...
【网站优化】Wordpress 后台登录 设置验证码 防止恶意爆破
全网唯一认证 | 信息安全圈 | 知识星球 | 网安社区 | 共筑网安长城
08-18 2331
方法转载于 七墨博客, 仅供学习交流。 1.核心代码 //后台登陆数学验证码 function myplugin_add_login_fields() { //获取两个随机数, 范围0~100,可以自行更改为更大或更小数字 $num1=rand(0,100); $num2=rand(0,100); //最终网页中的具体内容 echo "&...
php833.com,wp-login.php
weixin_39641463的博客
03-21 1157
/*** WordPress User Page** Handles authentication, registering, resetting passwords, forgot password,* and other user handling.** @package WordPress*//** Make sure that the WordPress bootstrap has run...
现代WordPress登录体验:白标与wp-login.php的优化
根据给定的文件信息,我们可以提取以下知识点: ### 知识点一:WordPress自定义登录页面 ...这些信息对于理解如何定制和优化WordPress登录页面,以及如何高效地管理和扩展WordPress站点至关重要。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月登楼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值