记一次网站用户名密码被盯上

半夜收到邮件,发现wordprerss被找回密码,wordpress的后台登录页面是默认的/wp-admin结构,总有安全风险。

借鉴一下网上各种安全防护,总结如下:

1.避免WordPress 管理员登录用户名被暴露

感谢(全网独家)如何正确的避免你的 WordPress 管理员登录用户名被暴露

添加代码到主题文件中

/**
*(全网独家)如何正确的避免你的 WordPress 管理员登录用户名被暴露 - 龙笑天下
* https://www.ilxtx.com/further-hide-your-wordpress-admin-username.html
* 说明:直接去掉函数 comment_class() 和 body_class() 中输出的 "comment-author-" 和 "author-"
*/
function lxtx_remove_comment_body_author_class($content){
$pattern = "/(.*?)([^>]*)author-([^>]*)(.*?)/i";
$replacement = '$1$4';
$content = preg_replace($pattern, $replacement, $content);
return $content;
}
add_filter('comment_class', 'lxtx_remove_comment_body_author_class');
add_filter('body_class', 'lxtx_remove_comment_body_author_class');

2.面板设置后台访问目录加密

以宝塔面板为例,添加后台目录和登陆页面加密访问,多一层安全保障

3.添加后台登陆邮件提醒

以下这段代码,我忘记原作者地址了,应该是这个 by DH.huahua.  感谢

/*****************************************************
函数名称:wp_login_notify v1.0 by DH.huahua. 
函数作用:有登录wp后台就会email通知博主
******************************************************/
function wp_login_notify()
{
date_default_timezone_set('PRC');
$admin_email = get_bloginfo ('admin_email');
$to = $admin_email;
$subject = '你的博客空间登录提醒';
$message = '<p>你好!你的博客空间(' . get_option("blogname") . ')有登录!</p>' . 
'<p>请确定是您自己的登录,以防别人攻击!登录信息如下:</p>' . 
'<p>登录名:' . $_POST['log'] . '<p>' .
'<p>登录密码:' . $_POST['pwd'] . '<p>' .
'<p>登录时间:' . date("Y-m-d H:i:s") . '<p>' .
'<p>登录IP:' . $_SERVER['REMOTE_ADDR'] . '<p>'; 
$wp_email = 'no-reply@' . preg_replace('#^www\.#', '', strtolower($_SERVER['SERVER_NAME']));
$from = "From: \"" . get_option('blogname') . "\" <$wp_email>";
$headers = "$from\nContent-Type: text/html; charset=" . get_option('blog_charset') . "\n";
wp_mail( $to, $subject, $message, $headers );
}

add_action('wp_login', 'wp_login_notify');
/*****************************************************
函数名称:wp_login_failed_notify v1.0 by DH.huahua. 
函数作用:有错误登录wp后台就会email通知博主
******************************************************/
function wp_login_failed_notify()
{
date_default_timezone_set('PRC');
$admin_email = get_bloginfo ('admin_email');
$to = $admin_email;
$subject = '你的博客空间登录错误警告';
$message = '<p>你好!你的博客空间(' . get_option("blogname") . ')有登录错误!</p>' . 
'<p>请确定是您自己的登录失误,以防别人攻击!登录信息如下:</p>' . 
'<p>登录名:' . $_POST['log'] . '<p>' .
'<p>登录密码:' . $_POST['pwd'] . '<p>' .
'<p>登录时间:' . date("Y-m-d H:i:s") . '<p>' .
'<p>登录IP:' . $_SERVER['REMOTE_ADDR'] . '<p>'; 
$wp_email = 'no-reply@' . preg_replace('#^www\.#', '', strtolower($_SERVER['SERVER_NAME']));
$from = "From: \"" . get_option('blogname') . "\" <$wp_email>";
$headers = "$from\nContent-Type: text/html; charset=" . get_option('blog_charset') . "\n";
wp_mail( $to, $subject, $message, $headers );
}

add_action('wp_login_failed', 'wp_login_failed_notify');
标签: ,   |  
时间: 2024年02月06日  上午8:03
1 COMMENTS
  1. 3周前
    老宋

    过来回访一下,竟然看到好东西,记下了

LEAVE A REPLY
loading