我们泪雪旗下的网站基本都是接入泪雪用户中心统一管理的帐号,能够实现统一的注册和登录,当然了解子凡我习惯的都知道我们泪雪下面的网站基本都是基于 WordPress 构建,当然也有遇到一些攻击和扫描,不论是研究还是恶意行为,作为站方有则有必要不断的提升提高安全性能。
就在前些天,有人利用 WordPress 的登录页面 wp-login.php 直接尝试以找回密码,并且意图直接通过 wp-login.php 页面绕过我们统一的用户接口登录网站后台,所以子凡也研究了一番,虽然我们在之前的开发时对登录地址做了跳转,但是由于 WordPress 的 wp-login.php 页面属于静态页面也是可以直接访问的,所以之前的跳转并不完善,那么今天就把相关的代码片段分享一下,可以帮助到一些利用 WordPress 开发的站群,或者是重置了 WordPress 登录页面,或者新开发有 WordPress 登录页面及功能的网站,以此来达到禁止 wp-login.php 页面的效果,从而提升 WordPress 登录及注册的安全性。
1 2 3 4 5 6 7 8 9 10 11 12 13 | // wp-login.php 页面设置为 404 错误 add_action('init','fanly_custom_login'); function fanly_custom_login(){ global $pagenow; if( 'wp-login.php' == $pagenow ) { global $wp_query; $wp_query->set_404(); status_header(404); nocache_headers(); include( get_query_template( '404' ) );//调用当前主题 404.php 模板页面 die(); } } |
代码很简单,放置到你网站当前主题 functions.php 文件中即可,代码是利用判断当前页面是否为 wp-login.php 来进行判断,如果是 wp-login.php 页面,则将 HTTP 状态码设置为 404,然后在载入 WordPress 主题的 404 页面,以上代码需要当前主题目录有 404.php 模板页面,当然也可以根据自己需求修改。
那么如果不载入 404 页面,还可以设置跳转,代码如下:
1 2 3 4 5 6 7 8 9 | // wp-login.php 页面跳转到首页 add_action('init','fanly_custom_login'); function fanly_custom_login(){ global $pagenow; if( 'wp-login.php' == $pagenow ) { wp_redirect(home_url());//跳转到首页 die(); } } |
以上两段代码功能不一样,不能共同使用,根据自己需要选择其中之一使用就行啦。
更多关于WordPress优化及疑问可以添加QQ群:255308000
除非注明,否则均为泪雪博客原创文章,禁止任何形式转载
本文链接:https://zhangzifan.com/wordpress-custom-wp-login-php.html
留言评论