Stealth Login:提高 WordPress 安全性,避免直接存取 wp-login.php!
文章歸類:Wordpress / 資訊安全 / 資訊科技。
文章標簽: Blog / Information Security / Wordpress。
隨著 wordpress 越來越普遍,它的安全性考量也將備受挑戰!對於有在使用 wordpress 內文管理系統架站的使用者來說,相信應該都很清楚控制台 (Dashboard) 的預設路徑為:http://www.yoururl.net/wp-login.php 或 http://www.yoururl.net/wp-admin!一般只要一輸入這段網址,便可以前往控制台的登入頁面,因此,該 WordPress 網站可能有一些資訊安全的風險須要考量,也就是說,若網站的帳號密碼遭到破解 (Crack) 或竊取 (Steal),那麼 Hacker 便可輕易地登入/登出控制台,整個網站將面臨極大的安全性危機。
由於以上的考量,近日小弟在網路上尋得一個解決方案,也就是利用 .htaccess 的方式來重新導向 (redirect) 登入頁面的網址!而在這個偉大的 wordpress 平台上,當然早就有好用插件 (plugin) 可以協助網站管理者輕易的完成這個任務。這個插件即為:Stealth Login!
首先,先來看一下 Stealth Login 官方說明中的兩個主要功能:
This plugin allows you to create custom URLs for logging in, logging out, administration and registering for your WordPress blog.
第一個功能是指 Stealth Login 可以利用設定 .htaccess 的方式,讓網站管理員客製化控制台登入、登出與註冊的網址!
You could also enable “Stealth Mode” which will prevent users from being able to access ‘wp-login.php’ directly.
第二個功能則是說明當啟動『Stealth Mode』後,便可以避免使用者直接存取『wp-login.php』。
再來,看一下Stealth Login的控制介面,如下圖所示:
幾個重要設定的參數說明如下:
- Enable Plugin:確定 Stealth Login 插件有啟動!
- Login Slug:隨便打,用來客製化登入頁面的網址!
- Login Redirect:登入後導向哪裡,通常我們登入就是要進控制台啊!所以我是設定為 WordPress Admin!
- Logout Slug:隨便打,用來客製化登出頁面的網址!
- Admin Slug:隨便打,用來客製化控制台頁面的網址!
- Stealth Mode:要確定有啟動,如此當有人輸入 http://www.yoururl.net/wp-login.php 或 http://www.yoururl.net/wp-admin 這兩個網址時, 將會被重新導向到網站首頁!
設定好這些參數後,點選下方的 Save Changes 按鈕後,Stealth Login 便會產生一段 .htaccess Output ,並且顯示:Settings saved and .htaccess file updated.
ok~ 以上對『wp-login.php』的防護便大功告成,設定完後一定要記得測試看看喔!
