WordPress教程
2021-08-30
我们泪雪旗下的网站基本都是接入泪雪用户中心统一管理的帐号,能够实现统一的注册和登录,当然了解子凡我习惯的都知道我们泪雪下面的网站基本都是基于 WordPress 构建,当然也有
我们泪雪旗下的网站基本都是接入泪雪用户中心统一管理的帐号,能够实现统一的注册和登录,当然了解子凡我习惯的都知道我们泪雪下面的网站基本都是基于 WordPress 构建,当然也有遇到一些攻击和扫描,不论是研究还是恶意行为,作为站方有则有必要不断的提升提高安全性能。
就在前些天,有人利用 WordPress 的登录页面 wp-login.php 直接尝试以找回密码,并且意图直接通过 wp-login.php 页面绕过我们统一的用户接口登录网站后台,所以子凡也研究了一番,虽然我们在之前的开发时对登录地址做了跳转,但是由于 WordPress 的 wp-login.php 页面属于静态页面也是可以直接访问的,所以之前的跳转并不完善,那么今天就把相关的代码片段分享一下,可以帮助到一些利用 WordPress 开发的站群,或者是重置了 WordPress 登录页面,或者新开发有 WordPress 登录页面及功能的网站,以此来达到禁止 wp-login.php 页面的效果,从而提升 WordPress 登录及注册的安全性。
12345678910111213 |
// wp-login.php 页面设置为 404 错误add_action('init','fanly_custom_login');function fanly_custom_login(){global $pagenow;if( 'wp-login.php' == $pagenow ) {global $wp_query;$wp_query->set_404();status_header(404);nocache_headers();include( get_query_template( '404' ) );//调用当前主题 404.php 模板页面die();}} |
代码很简单,放置到你网站当前主题 functions.php 文件中即可,代码是利用判断当前页面是否为 wp-login.php 来进行判断,如果是 wp-login.php 页面,则将 HTTP 状态码设置为 404,然后在载入 WordPress 主题的 404 页面,以上代码需要当前主题目录有 404.php 模板页面,当然也可以根据自己需求修改。
那么如果不载入 404 页面,还可以设置跳转,代码如下:
123456789 |
// wp-login.php 页面跳转到首页add_action('init','fanly_custom_login');function fanly_custom_login(){global $pagenow;if( 'wp-login.php' == $pagenow ) {wp_redirect(home_url());//跳转到首页die();}} |
以上两段代码功能不一样,不能共同使用,根据自己需要选择其中之一使用就行啦。
显示全部内容...