这是一个关于wordpress的login页面的故事，故事发生在一个普普通通的周四~这两天我装了SEO插件，每天照常屁颠屁颠的跑去看访客量和访问量，今天一看，吓尿

 

当时我就懵逼了！像我这么冷门的网站….平时访客两位数，访问量三位数，五位数特么的肯定在逗我。于是我知道我的站肯定被扫了，我感觉到很兴奋（能不能不要暴露抖M属性啊！摔！）

所以，我立刻去后台查看了日志，发现了这个→_→

 

大哥你干嘛呢，全部都是200你很爽吧………..是想搞破解还是想干嘛…..我一个小站你日我干嘛…..

然后发现这种情况的第一时间？正确的做法当然是立刻截图去群里好么(×)    反正我就这么做了。

然后大家给了我很多没有营养的建议，尽管如此我还是得到了很多正能量(×)。

 

一、重命名wp-login.php：

闹腾完他们开始建议我封IP，但是我的虚拟主机后台并没有这个功能，咋办呢，给wp-login.php改个名字咯。

重命名的方案百度了一下发现：《如何采用wp-login.php重命名方式防止wordpress网站攻击》 ,其实就是3个步骤：

①把你的 wp-login.php 拿下来，文件名改为  wp-xxx.php，然后把里面的代码的 wp-login.php全部替换成 wp-xxx.php。

②把你的 wp-login.php删掉，把 wp-xxx.php放上去根目录。

③去到 wp-includes/general-template.php，把 wp-login.php全部替换成 wp-xxx.php。

搞完了之后再看看日志，发现他的请求全部404了：

 

二、用参数做密码：

这样搞完之后，群里的混蛋又开始说，我的插件会暴露url，而且wp本身也有这种问题。所以，一旦新的url被知道了，还是会被刷….而且情况一模一样，也不是办法啊。

我听了下觉得对，听取了他们建议给弄了个参数，没有这个参数就给我跳去百度吧谢谢！

if($_GET["kfc"]!='dick')
		header('Location:http://www.baidu.com/');

 

那这一步也完成了，感觉放心了点。

 

三、把IP封了：

然而我看着日志，还是看到那家伙给我刷了一堆404，实在是没眼看。

so，我联系了虚拟主机客服，把这个ip给封了，舒心多了。

不过外加一句，如果人家真有心攻击你，封一个ip设置100个都没啥用…….我只是看他比较低端我也就ban他一下。再加上这样可能误伤，你懂的…

 

四、一些延伸：

关于登录的安全问题，wordpress大学提供了两款插件，大家可以试试 《修改WordPress后台登录地址，提高安全性》

这里还有篇文章是关于wordpress的注册问题的 《WordPress 的後台安全性檢測》

然后这个是一些其他技巧  《教你9个提升 WordPress 网站安全性的方法》

最后，这里是一些评测标准，wp的朋友可以用这个来给自己做个小检查 《你的WordPress博客安全吗？》