Предисловие/ерунда

wordpressВнутренний адрес по умолчанию:example.com/wp-admin/,Самое важное для входа в бэкэнд — это войти на страницу входа.,wordpressСтраница входа по умолчанию:/wp-login.php。Это означает, что все пониманиеwordpressЛюбой может открыть вашу фоновую страницу входа в систему.,Таким образом, очень легко дать некоторыеученик начальной школынекоторые возможности。

текст

Есть два способа изменить серверную часть WordPress: один — использовать плагины, а другой — напрямую изменить исходный код.

Лично я не настроен оптимистично по поводу плагинов. Я считаю, что плагины замедляют работу сайта. В Интернете существует множество способов изменения плагинов, поэтому в этой статье основное внимание уделяется изменению исходного кода.

Хотя изменение исходного кода звучит пугающе, сделать это очень просто. В конце концов, это модификация.

предупреждать

Прежде чем выполнять какие-либо опасные операции, обязательно сделайте резервную копию файлов, с которыми вы будете работать! ! !

Идеи

Чтобы запретить пользователям доступ к серверной части,Грубо говоря, пользователям запрещен доступwp-login.phpэтот файл,Это намного проще, если подумать об этом таким образом,Все, что вам нужно сделать, это сделать его недоступным или запретить доступ к этому файлу.

обычный метод

первый шаг,Первый генералwp-login.phpПереименовать,Назовите это как вам нравится,Не меняйте суффиксное имя。Вот я назову егоtest123.php。

Вы можете создать новыйwp-login.php,Или пусть он останется несуществующим。Поэтому, когда люди посещаютwp-adminилиwp-login.phpполучит доступ к вашему вновь созданномуwp-login.phpили是404страница

Шаг 2,Открываем файл входа с измененным именем файла,я здесьtest123.php,Каждый будет изменять его в соответствии с реальной ситуацией

После открытия,Поиск и замена с помощью редактора（Сочетания клавиш для большинства редакторов:ctrl+f）。Что? Вы сказали, что в вашем редакторе нет этой функции? Я не верю этому! Windows поставляется с Блокнотом!

Изменить все содержимое файлаwp-login.phpЗамените имя файла, которое вы изменили.,Я заменю его здесь на test123.php

Шаг 3,Отредактируйте корневой каталог сайта/wp-includes/general-template.php,Также замените на,положить всеwp-login.phpЗамените имя файла, которое вы изменили.,Я заменю его здесь наtest123.php

Шаг 4,Или этот файл,поиск$login_urlэта переменная,Посмотреть первый результат,Вы увидите следующее

function wp_login_url( $redirect = '', $force_reauth = false ) {
    $login_url = site_url( 'Имя, которое вы изменили.php', 'login' );

место здесьИмя, которое вы изменили.phpИзмените его на то, к чему вы хотите предоставить доступ пользователям.wp-adminКуда перейти, когда,Вы можете установить его наindex.php,Вы также можете сохранить оригиналwp-login.php,Но это надо изменить,В противном случае ваши предыдущие модификации окажутся напрасными.

Модификация завершена, пожалуйста, посетите измененный файл, чтобы войти!

Некоторые проблемы, которые могут возникнуть при использовании обычного метода

Практически никто не расскажет вам этот контент, если вы поищите его в Интернете. На личном опыте я обнаружил следующие проблемы:

После обновлений и итераций WordPress исходный файл входа будет перезаписан при обновлении WordPress.

После обновлений и итераций WordPress измененные файлы будут перезаписаны при обновлении WordPress, особенно у тех, кто использует автоматические обновления. После автоматического обновления WordPress все исходные измененные файлы будут перезаписаны исходными, и их необходимо перезаписывать после каждого. обновить. Измените эти файлы!

Иногда входы в систему, которые переходят в консоль, например входы по тайм-ауту, переходят на измененный вами адрес.

Иногда при написании статьи происходит тайм-аут, и появляется окно подсказки с просьбой войти в систему. Однако содержимое окна подсказки — это заданное вами содержимое, а не заданная вами страница входа. В этом случае используйте клавишу F12, чтобы изменить адрес поля подсказки.

Адрес перенаправления страницы регистрации WordPress предоставляет пользовательский внутренний адрес (даже если сайт запрещает регистрацию)

Это самый фатальный момент! Многие люди вносят изменения на основе онлайн-руководств, но другие все равно находят внутренний адрес. Вот официальное объяснение.

Доступ к корневому каталогу/wp-signup.phpАвтоматически перейдет на правильный внутренний адрес,Я верю, что умные люди поймут, почему это происходит, потому что они смогут делать выводы из одного случая в другой. Поэтому, пожалуйста, не забудьте использовать упомянутый выше метод, чтобы вместе исправить эту ошибку.

Менее традиционные способы лениться

Этот метод единственный во всей сети. Прежде чем читать этот метод,Ссылка на первый комментарий дизайн дизайн дизайн, также рекомендуется сочетать этот метод с обычным Используется вместе с методом.

Этот волшебный метод – перенаправление!

Напрямую перенаправляйте запросы на доступ к правильному адресу, чтобы другие не могли получить доступ к странице входа. Установка исходного файла wp-login.php также может решить проблему обновления. Конечно, недостаток этого также очевиден. Вам нужно вручную отключать это перенаправление каждый раз, когда вы входите в систему.

В качестве примера мы возьмем панель Pagoda. Для других методов вы можете выполнить поиск по запросу «перенаправление nginx» и т. д.

Соответствующая конфигурация выглядит следующим образом

#REWRITE-START
        rewrite ^/wp-login.php(.*) https://www.alongw.cn/110 redirect;
#REWRITE-END

эй-эй! Разве этот метод не умный и ленивый одновременно? Однако только что был упомянут недостаток этого метода: его приходится каждый раз включать и выключать, и браузер легко кэширует.,Убирать каждый раз。Этот метод также можно использовать дляwp-signup.php。

Возмутительные методы, требующие много сил и денег

Этот способ единственный во всей сети, но требует больших усилий или использования денежных возможностей. Этот метод особенно возмутителен, но лично я использую комбинацию этих трёх.

первый шаг,использоватьобычный метод Изменить фоновый адрес

Шаг 2,использовать重定向使wp-login.phpиwp-signup.phpЗапрещенный доступ（Вы также можете напрямую использовать текущий метод）

Третий шаг — настройка брандмауэра. Заблокируйте реальный внутренний адрес. Здесь используется версия Nginx Firewall Enterprise Edition от Pagoda Panel. Вы также можете сделать это самостоятельно. Найдите в Интернете конкретные методы.

На фоновой странице брандмауэра вы можете выбрать любую функцию, например блокировку запрещенных слов, блокировку ключевых слов URL-адресов, черный список URL-адресов, белый список URL-адресов и т. д. Вы можете установить IP-адрес белого списка и указать свой собственный IP-адрес в белом списке.

Заблокировать этот адрес глобально

Установите свой собственный IP-адрес в белый список IP-адресов

Операция завершена

окончание

Грубо говоря, эти настройки на самом деле являются самообманом, защищающим от джентльменов, а не от злодеев. Если на вас действительно нацелены, то наверняка найдется миллион способов нацелиться не только на бэкенд, но и на прямые DDoS-атаки. сайт. Если вы измените внутренний адрес, в конечном итоге вам придется защищать себя, и у вас также будут проблемы.