目前已知的增加 wordpress 后台登录安全的方案有三种:
- 安全插件:如Limit Login Attempts Reloaded、WPS Hide Login 等等;
- 登录 URL 增加自定义key,因为这个key只有自己知道,所以增加了直接访问后台的困难性。
- 前后台区分 URL 访问,如
www.abc.com
访问前台;admin2.abc.com
访问后台。
我习惯了使用第二种方案,增加直接访问后台登录地址的困难性。
下面记录一下,个人认为需要强调的点和配置的过程。
一、主题目录下 wp-content\themes\theme\functions.php 或者 全局 wp-includes\functions.php 增加如下代码
///增加登录key,没有key跳转到首页
add_action('login_enqueue_scripts','login_protection');
function login_protection(){
if($_GET['chKey'] != 'Login') header('Location: /');
}
二、接下来,说下遇到的几个问题:
1、只修改get访问,可以直接 post 请求发送账号密码,跳过了页面。
2、$_GET 下标 不能定义为 key,不然参数会消失,直接跳回首页。
3、如果输错密码,不返回重新输入密码页面,会直接跳到首页。
针对这几个问题,看下解决方案:
- 针对 post 请求解决方案:
///①、修改wp-login.php登录页面代码
<!-- 在原有的URL的基础上新增了参数 -->
<form name="loginform" id="loginform" action="<?php echo esc_url( site_url( 'wp-login.php', 'login_post' ) ).'?chKey=Login'; ?>" method="post">
<!-- 新增的参数 -->
<input type="hidden" readonly="readonly" value="Login" name="chKey">
///②、调整 login_protection 函数
function login_protection(){
if($_GET['cusKey'] != 'cusLogin'){ header('Location: /'); }
if((isset( $_POST['log'] ) || isset( $_POST['pwd'] )) && $_POST['chKey'] != 'Login'){
header('Location: /');
}
}
三、仔细看的话,点击 忘记密码 也会跳到首页,一般保留好密码是不会忘记的,如果你想以防万一调整下忘记密码的 URL 即可:后缀增加 &chKey=Login。
四、调整错误信息提示
输错账号或密码时,发现提示信息并不够友好,这对于有点强迫症的我,是忍受不了的。
将 wp-login.php 文件中的代码 echo '<div id="login_error">' . apply_filters( 'login_errors', $errors ) . "</div>\n";
修改为 echo '<div id="login_error">'. print_r($errors,true) . "</div>\n";