想敲開你家大門

如果你是一位用心的 WordPress 網站管理員,一定會被那每天都會來猜你網站後台密碼的駭客搞的很頭痛,因為你一定會擔心哪一天被猜中密碼網站淪陷。

高登曾經教大家如何建立自己後台的白名單 IP,也就是在 WordPress 後台加一道鎖來防範駭客的密碼暴力攻擊。


但是我知道有許多人會覺得這個方法限制很多,像是:

  • 沒有固定的上網 IP
  • 在公司、家裡、甚至外出都要進 WordPress 後台
  • 多人管理或上稿的網站
  • 現在又多了一個手機/平板電腦進後台的需求

如果你有以上的困擾,那今天高登教你的這個方法一定可以解決你的問題

把大門藏起來

如果你有看過 站長親授!WordPress 3.0部落格架站十堂課 這本書的話,應該有印象我介紹過一個隱藏 WordPress 後台網址的外掛:Stealth Login,但是那一個外掛已經從 WordPress 官方外掛下架了(現在的 Stealth Login Page 是不同的外掛,功能也只是在登入頁面加上驗證碼,不是我們要隱藏後台網址的的功能)

事實上也有幾個外掛可以達到隱藏 WordPress 後台網址的目的,像是:

但是這些外掛有的太複雜有的功能不盡理想,所以高登一直在找一個單純只是改變 WordPress 後台網址的外掛,而這個外掛就是

HC Custom WP-Admin URL

  • 外掛名稱:HC Custom WP-Admin URL
  • 外掛官方網址:http://wordpress.org/plugins/hc-custom-wp-admin-url/
  • 外掛安裝方式:直接在 WordPress 後台搜尋外掛名稱安裝及啟用,或是使用 FTP 上傳外掛解開的檔案目錄至 /wp-content/plugins 再由 WordPress 後台啟用
  • 外掛設定:請看本文說明

這是外掛安裝

這是外掛啟用

外掛啟用之後,在後台[設定]->[固定網址]會多出來一個[WP-Admin slug],這就是你要設定的秘密後台網址,像是圖中我們把 WordPress 後台網址改成 myadmin,這樣子別人不知道你的後台網址就進不了你的後台,更不用就要玩猜密碼的遊戲了

但是在設定之前有一件事要先改一下,高登就是為了這個找了好幾天才找到原因:
請你先在你的快取外掛將這個新的後台網址加入不快取的名單,我常用的 Hyper Cache 是在[過濾]這一區的[拒絕的位址],記得前面要加 / 哦

其他的外掛就要麻煩你自己找,或者是知道的人留一下造福大眾

隱藏 WordPress 後台的原理

不只是 HC Custom WP-Admin URL 這個外掛,前面提到的隱藏 WordPress 後台的外掛都是透過修改 .htaccess 來達成的
如果你的 WordPress 固定網址是跟我一樣使用預設 /?p=123 這種結構的話,這個外掛會在你的 .htaccess 加上這一段指令:

如果是其他固定網址,則是會加在 # BEGIN WordPress 和 # END WordPress 中間

就是簡單的一行指令

RewriteRule ^myadmin/?$ /wp-login.php [QSA,L]

就能把你的 WordPress 後台網址隱形,你可以自己試著用瀏覽器私密瀏覽/無痕視窗在尚未登入後台的情況下輸入一般的 /wp-admin 或是 wp-login.php 後台網址看看,是不是很神奇的就被轉成前台首頁了?

聰明的您應該也想到了不用外掛直接改 .htaccess 達成相同的目的也是可行的,不過記得一樣要在快取排除你自訂的後台網址

這個外掛也一樣可以配合 Limit Login Attempts 之類的登入錯誤鎖定 IP 的外掛一起用,但是請不要再跟其他變更後台網址的外掛一起用,切記!

還有文章最前面限制後台 IP 的作法還可以跟這個外掛合用,這樣子你就能有最安全的 WordPress 後台環境。