修改 WordPress 默认的 /wp-admin 或 wp-login.php 登录地址是防止暴力破解攻击(Brute Force Attack)最有效的手段之一。
你可以通过以下三种方式实现:
方法一:使用插件(最简单、最安全)
对于大多数用户,推荐使用 WPS Hide Login。它非常轻量,不会修改任何系统文件,只是在访问时进行拦截。
-
安装并启用 WPS Hide Login 插件。
-
前往 设置 (Settings) > 常规 (General)。
-
滚动到页面底部,你会看到 Login url 选项。
-
在输入框中填入你想要的新地址(例如:
my-secret-login)。 -
在 Redirection url 中填入当有人尝试访问原
wp-admin时跳转的页面(通常设为 404 页面)。 -
点击保存。
注意: 保存后,请立即将新地址加入浏览器收藏夹。如果忘记了,你需要通过 FTP 删除该插件文件夹才能恢复默认登录。
方法二:使用安全插件(功能最全)
如果你已经安装了安全插件,通常它们都自带这个功能,无需安装额外插件:
-
All In One WP Security & Firewall:在“暴力破解 (Brute Force)”选项卡下可以开启“重命名登录页面”。
-
Solid Security (原 iThemes Security):在“设置 > 高级 > 修改登录 URL”中可以配置。
方法三:纯代码实现(不推荐新手)
如果你不想使用插件,可以通过修改根目录下的 .htaccess 文件(适用于 Apache 服务器)来伪装地址。
-
通过 FTP 下载并打开
.htaccess文件。 -
添加以下代码:
ApacheRewriteRule ^newlogin$ wp-login.php?key=123 [L] -
这样你只能通过
yourdomain.com/newlogin访问。 -
局限性:这种方法并不完美,因为它只是做了一个重定向,原有的
wp-login.php依然可能被扫描到。
进阶:深度隐藏(配合 Hide My WP Ghost)
如果你之前关注过 Hide My WP Ghost,它的操作更彻底:
-
它不仅修改登录地址,还会重命名
wp-admin目录及其内部的所有路径。 -
它可以让尝试探测
/wp-admin的机器人直接得到 404 或被屏蔽 IP。
💡 修改后的注意事项:
-
清空缓存:修改完成后,请务必清空所有的插件缓存(如 WP Rocket)和服务器缓存(如 Nginx 缓存)。
-
测试访问:使用浏览器的**无痕模式(Incognito)**测试新地址是否能打开,以及旧地址是否已失效。
-
记住地址:由于你的登录地址不再是标准配置,一旦忘记,你将被锁在后台之外。
