在 WordPress 中,网站管理员可通过用户名和密码登录网站管理后台,执行大量管理操作。如果管理员的账户和密码泄露了,可能给我们的网站造成无法挽回的损失。网上有大量针对 WordPress 网站的攻击行为,他们通过程序自动尝试使用不同的用户名和密码登录网站后台。
在默认情况下,每个 WordPress 网站的管理后台登录地址是统一的,均为 http://www.your-domain.com/wp-admin。而同时,很多用户习惯使用 admin 作为自己的登录用户名。即使用户没有使用 admin 作为登录名,也有可能 user_nicename 和用户名名称相同,进而通过用户的 URL 链接暴露了用户名。而这些,都给网站的安全带来巨大的隐患。
有些朋友可能不知道什么是 user_nicename,它是用来生成用户链接的。例如,如果你的用户名是 “johnsmith”,那么你的文章列表页链接可能是:
http://www.example.com/author/johnsmith
由于 user_nicename 和 user_login 可能相同,所以不怀好意的人可以通过查看某个作者的文章列表链接来猜测他的用户名。但是,这不意味着他就可以通过暴力破解来猜测网站密码。
为了保护网站免受暴力破解的威胁,建议你使用一些安全措施,例如:
- 在登录时使用验证码
- 使用与用户名不同的账户锁定策略
- 强制用户使用强密码
此外,你也可以使用插件来加强网站的安全性,例如 “Wordfence Security” 插件。这种插件可以帮助你防止暴力破解、恶意攻击和其他安全威胁。
修改user_nicename
你可以使用 WordPress 的 wp_update_user 函数来修改 user_nicename。例如:
wp_update_user( array( 'ID' => $user_id, 'user_nicename' => 'new-nicename' ) );
在这个例子中,$user_id 是要修改 user_nicename 的用户的 ID,’new-nicename’ 是新的 user_nicename。
注意:在修改 user_nicename 后,你的文章列表链接可能会发生变化。例如,如果你的原来的 user_nicename 是 “johnsmith”,那么你的文章列表可能会出现在这个链接中:
example.com/author/johnsmith
如果你将 user_nicename 更新为 “new-nicename”,那么你的文章列表将出现在这个链接中:
example.com/author/new-nicename
因此,在修改 user_nicename 后,你需要注意这可能会对网站的外部链接造成影响。
这个代码可以放在你的主题的 functions.php 文件中,或者你可以使用插件的形式来实现。
如果你想在 functions.php 文件中使用这个代码,你需要将它放在主题的 functions.php 文件的最后面。这个文件位于主题文件夹中,例如:wp-content/themes/your-theme/functions.php
如果你想使用插件的形式来实现,你可以创建一个新的插件,然后将这个代码放在插件文件中。你可以在 WordPress 后台的 “插件” 页面中安装并激活这个插件。
在任何情况下,在使用 wp_update_user 函数之前,你都需要确保已经加载了 WordPress 的 wp-includes/user.php 文件。
例如,在你的 functions.php 文件中,你可以使用以下代码来加载这个文件:
require_once( ABSPATH . 'wp-includes/user.php' );
在插件中,你可以使用以下代码:
include_once( ABSPATH . 'wp-includes/user.php' );
这样,你就可以在你的代码中使用 wp_update_user 函数了。
作者:牛奇网,本站文章均为辛苦原创,在此严正声明,本站内容严禁采集转载,面斥不雅请好自为之,本文网址:https://www.niuqi360.com/wordpress/securing-your-wordpress-admin-accounts/