首先大挖要致敬一下无所不能的python,python是什么,就是大火的那个ai编程软件。但是它也有另外的功能就是暴力破解。在众多密码验证码沦陷的情况下wordpress也未能幸免。有兴趣的站长可以自行搜索一下python暴力破解wordpress程序后台,而且可以找到现成的代码直接修改成目标站的网址就可以暴力破解~!是不是很可怕。是的,灰常以及特别可怕。那么问题来了。是因为wordpress安全性太低还是因为python太强大呢`emmmmm
在大挖看来wordpress是很注重安全性的,偶尔出现的注入类的或是恶意代码类的通常是通过插件导致的问题。wordpress程序本身是没有安全问题存在的。所以接上面的话题问题还是出在python的暴力破解中,因为python实在强大,那我们就要另辟蹊径尽量在根源上就杜绝掉。那么现在分享给大家一个已知的加固方法
只要把下面的函数复制到主题的functions.php中加入如下代码即可:
1 2 3 4 |
add_action('login_enqueue_scripts','cracker'); function cracker(){ if($_GET['access']!= 'wa') header('Location:http://www.wazhuti.com/'); } |
请自行更改wa为自己的密码,然后把后面的wazhuti的URL更改为你的博客域名。
这样我们登陆后台的时候需要使用这样的方式,http://XXX.cn/wp-login.php?access=wa即可