我们泪雪旗下的网站基本都是接入泪雪用户中心统一管理的帐号,能够实现统一的注册和登录,当然了解子凡我习惯的都知道我们泪雪下面的网站基本都是基于 WordPress 构建,当然也有遇到一些攻击和扫描,不论是研究还是恶意行为,作为站方有则有必要不断的提升提高安全性能。

WordPress 自定义设置 wp-login.php

就在前些天,有人利用 WordPress 的登录页面 wp-login.php 直接尝试以找回密码,并且意图直接通过 wp-login.php 页面绕过我们统一的用户接口登录网站后台,所以子凡也研究了一番,虽然我们在之前的开发时对登录地址做了跳转,但是由于 WordPress 的 wp-login.php 页面属于静态页面也是可以直接访问的,所以之前的跳转并不完善,那么今天就把相关的代码片段分享一下,可以帮助到一些利用 WordPress 开发的站群,或者是重置了 WordPress 登录页面,或者新开发有 WordPress 登录页面及功能的网站,以此来达到禁止 wp-login.php 页面的效果,从而提升 WordPress 登录及注册的安全性。

1
2
3
4
5
6
7
8
9
10
11
12
13
// wp-login.php 页面设置为 404 错误
add_action('init','fanly_custom_login');
function fanly_custom_login(){
	global $pagenow;
	if( 'wp-login.php' == $pagenow ) {
		global $wp_query;
		$wp_query->set_404();
		status_header(404);
		nocache_headers();
		include( get_query_template( '404' ) );//调用当前主题 404.php 模板页面
		die();
	}
}

代码很简单,放置到你网站当前主题 functions.php 文件中即可,代码是利用判断当前页面是否为 wp-login.php 来进行判断,如果是 wp-login.php 页面,则将 HTTP 状态码设置为 404,然后在载入 WordPress 主题的 404 页面,以上代码需要当前主题目录有 404.php 模板页面,当然也可以根据自己需求修改。

那么如果不载入 404 页面,还可以设置跳转,代码如下:

1
2
3
4
5
6
7
8
9
// wp-login.php 页面跳转到首页
add_action('init','fanly_custom_login');
function fanly_custom_login(){
	global $pagenow;
	if( 'wp-login.php' == $pagenow ) {
		wp_redirect(home_url());//跳转到首页
		die();
	}
}

以上两段代码功能不一样,不能共同使用,根据自己需要选择其中之一使用就行啦。

更多关于 WordPress 优化及疑问可以添加 QQ 群:255308000

除非注明,否则均为泪雪博客原创文章,禁止任何形式转载

本文链接:https://zhangzifan.com/wordpress-custom-wp-login-php.html

发表评论