我們?cè)诰S護(hù)網(wǎng)站的時(shí)候，一旦網(wǎng)站上線，即會(huì)遭到各種網(wǎng)絡(luò)威脅，不管是競(jìng)爭(zhēng)對(duì)手，還是蓄意搗亂的黑客，他們都會(huì)時(shí)不時(shí)的嘗試攻破你的網(wǎng)站，修改你的網(wǎng)站，掛上木馬，或者刪除文件。那么在網(wǎng)絡(luò)威脅日益嚴(yán)重的今天，我們?nèi)绾畏婪蹲约旱膚ordpress網(wǎng)站遭受攻擊呢？

保持升級(jí)你的wordpress版本到最新

這一點(diǎn)不可置疑，wordpress每次的更新，都會(huì)帶有大量的安全漏洞更新，讓你的網(wǎng)站防御力更強(qiáng)大，在更新版本之前，應(yīng)該檢查自己的網(wǎng)站所安裝的插件是否能夠兼容新版本，主題是否能夠在新版本中保持良好的效果，然后開(kāi)始跟新wordpress最新版本。最好的方法是在本地進(jìn)行測(cè)試，安裝所有你安裝的插件和主題，看是否出錯(cuò)，沒(méi)有出錯(cuò)再更新你的主題。

修改/禁用WordPress登錄錯(cuò)誤的提示信息

我們知道，wordpress在登錄時(shí)，如果用戶名正確，而密碼錯(cuò)誤，會(huì)有一個(gè)小提示“xxx密碼不正確”，如下圖，這樣的提示其實(shí)是存在危險(xiǎn)的，這樣會(huì)讓攻擊者知道你真正的登錄賬號(hào)，從而使用暴力破解工具破解你的密碼.

那么，我們需要屏蔽這個(gè)提示，讓破解者無(wú)法知道我們正確的登錄賬戶，修改上面的“demo的密碼不正確” 文字，添加如下代碼到你的functions.php：

function failed_login() {
    return '密碼或者用戶名錯(cuò)誤';
}
add_filter('login_errors', 'failed_login');

如果你想徹底屏蔽他們，那么加入下面的代碼到你的functions.php：

add_filter('login_errors', create_function('$a', "return null;"));

設(shè)定輸入密碼錯(cuò)誤鎖定用戶

使用 User Locker 插件，對(duì)連續(xù)輸入密碼錯(cuò)誤次數(shù)過(guò)多的用戶進(jìn)行鎖定，可以防范使用密碼字典暴力破解用戶密碼，我們上一篇文章所介紹的Theme My Login也有這樣的功能，就要看你是否需要開(kāi)發(fā)用戶注冊(cè)了，你可以自由選擇。

修改WordPress后臺(tái)登錄地址，提高安全性

眾所周知，wordpress的登錄地址是更目錄/wp-admin，所以想要破解你的網(wǎng)站人，第一時(shí)間就會(huì)訪問(wèn)這個(gè)地址，嘗試登錄你的網(wǎng)站，所以，我們?nèi)绻麑⑦@個(gè)地址修改成為一個(gè)我們自己設(shè)定的地址，那么破解者就很難找到我們的登錄地址，從而達(dá)到防范的目的。

加入以下代碼到你的functions.php中，記得替換你的自定義地址哦~ （小編提示您，最好不要用/denglu /login 等容易被猜出來(lái)的地址，可以使用一個(gè)比較長(zhǎng)的自己知道的地址，不過(guò)記得用記事本記下來(lái)哦，以免自己給忘記了，如果自己忘記了也沒(méi)關(guān)系，使用ftp將主題的functions.php下載下來(lái)，修改一下即可。

代碼如下：

//保護(hù)后臺(tái)登錄
add_action('login_enqueue_scripts','login_protection');
function login_protection(){
    if($_GET['woyaodenglu'] != 'press')header('Location: http://www.dengyin90.cn/);
}

這樣，紅色的字是你登陸的地址，如添加這段代碼之后，登錄地址轉(zhuǎn)到了http://你的域名/wp-login.php?woyaodenglu=press 如果不是這個(gè)鏈接 則直接跳轉(zhuǎn)http://www.dengyin90.cn/ 你可以自由修改這些

不要使用admin作為你的登陸賬號(hào)

使用admin作為你的登陸賬號(hào)，那么就太容易被發(fā)現(xiàn)你的登陸賬號(hào)了，這樣也是非常危險(xiǎn)的，修改一個(gè)自己知道的用戶名，讓破解者去猜吧！