Stealth Login:避免直接存取 wp-login.php!
隨著 wordpress 越來越普遍,它的安全性考量也將備受挑戰!對於有在使用 wordpress 內文管理系統架站的使用者來說,相信應該都很清楚控制台 (Dashboard) 的預設路徑為:http://www.yoururl.net/wp-login.php 或 http://www.yoururl.net/wp-admin!一般只要一輸入這段網址,便可以前往控制台的登入頁面,因此,該 WordPress 網站可能有一些資訊安全的風險須要考量,也就是說,若網站的帳號密碼遭到破解 (Crack) 或竊取 (Steal),那麼 Hacker 便可輕易地登入/登出控制台,整個網站將面臨極大的安全性危機。
由於以上的考量,近日小弟在網路上尋得一個解決方案,也就是利用 .htaccess 的方式來重新導向 (redirect) 登入頁面的網址!而在這個偉大的 wordpress 平台上,當然早就有好用插件 (plugin) 可以協助網站管理者輕易的完成這個任務。這個插件即為:Stealth Login!
首先,先來看一下 Stealth Login 官方說明中的兩個主要功能:
This plugin allows you to create custom URLs for logging in, logging out, administration and registering for your WordPress blog.
引用自:WordPress › Stealth Login « WordPress Plugins
第一個功能是指 Stealth Login 可以利用設定 .htaccess 的方式,讓網站管理員客製化控制台登入、登出與註冊的網址!
You could also enable “Stealth Mode” which will prevent users from being able to access ‘wp-login.php’ directly.
引用自:WordPress › Stealth Login « WordPress Plugins
第二個功能則是說明當啟動『Stealth Mode』後,便可以避免使用者直接存取『wp-login.php』。
再來,看一下Stealth Login的控制介面,如下圖所示:
幾個重要設定的參數說明如下:
- Enable Plugin:確定 Stealth Login 插件有啟動!
- Login Slug:隨便打,用來客製化登入頁面的網址!
- Login Redirect:登入後導向哪裡,通常我們登入就是要進控制台啊!所以我是設定為 WordPress Admin!
- Logout Slug:隨便打,用來客製化登出頁面的網址!
- Admin Slug:隨便打,用來客製化控制台頁面的網址!
- Stealth Mode:要確定有啟動,如此當有人輸入 http://www.yoururl.net/wp-login.php 或 http://www.yoururl.net/wp-admin 這兩個網址時, 將會被重新導向到網站首頁!
設定好這些參數後,點選下方的 Save Changes 按鈕後,Stealth Login 便會產生一段 .htaccess Output ,並且顯示:Settings saved and .htaccess file updated.
ok~ 以上對『wp-login.php』的防護便大功告成,設定完後一定要記得測試看看喔!
盛淳 范
October 7, 2011 @ 3:18 PM
安裝之後 完全使用login為基本設置 發現無法開啟台頁面了
Allen
October 7, 2011 @ 3:45 PM
到你的根目錄將檢查一下.htaccess的內容,看是哪裡出問題…
我一直都在使用,應該不會有問題的。