提高网站安全性

昨天看了下Limit Login Attempts这个插件，才发现在网站还没步入正轨就已经有人开始想登陆后台了，幸好在建站的时候自动安装了这个插件，不然可能就已经GG了，网站安全性的加强迫在眉睫。

修改默认登陆地址

在域名后加/wp-admin或/wp-login.php就可以进入WordPress的后台登陆地址，而这个地址是公开的，所以需要修改成自己才知道的地址，由于yellowko短期内没有开放用户注册的计划，所以这个想法是可行的。这里介绍两个方法:

修改主题的function.php文件

找到function.php,在最后添加类似于这样的代码

add_action('login_enqueue_scripts','login_protection');
function login_protection(){
 if(( $_GET['admin'] != 'yellowko') || ($ _GET['wife'] != 'miku'))header('Location: https://yellowko.com');
}

修改login.php

找到login.php，在大概50多行找到这几行代码

if (  $shake_error_codes &&$ wp_error->get_error_code() && in_array(  $wp_error->get_error_code(),$ shake_error_codes ) )
		add_action( 'login_head', 'wp_shake_js', 12 );

同样的在后面添加这样的代码就行了

if(( $_GET['admin'] != 'yellowko') || ($ _GET['wife'] != 'miku'))header('Location: https://yellowko.com');

两种方法都达到了同样的效果，这样要登陆后台管理就只能通过这个链接

https://yellowko.com/wp-login.php?admin=yellowko&wife=miku

一旦输错，就会跳转到

https://yellowko.com

if里面的值可以改成自己喜欢的字段，这样就可以实现定制后台登陆地址了233333。刚修改完很多朋友会迫不及待地测试，发现/wp-login.php的后缀已失效，变成了自定义的后缀，但是/wp-admin的后缀仍然可以进入到后台，然后就开始怀疑人生，emmmmm，其实是因为你的账号还没退出登陆呢！账号退出登录后，后台的入口就隐藏了起来，是不是很棒！

安装安全插件

yellowko不可能一直盯着网站的呢，这时就需要插件来帮助扫描发现网站是否被渗透（太小白了所以只能靠插件帮忙(￣▽￣)”）。在WordPress的插件市场找到了Wordfence这个安全插件。

安装以后似乎功能很多嘛，那么就让我来扫描一下，然后就emmmmm（(╯‵□′)╯︵┻━┻），9个问题，开玩笑的吧。。。

那一个个看看吧，打开一个被认为是恶意文件的，这似乎是installatron的文件，想想好像不是那么对劲，查了下似乎没人有这个问题，那么备份一下就愉快地删掉吧。

下面几个似乎都是因为有汉化导致不同的误报

再接下来，emmmm，这不是上面一条刚改的隐藏登陆地址的代码吗。。。。最后一个是这篇文章的起因Limit Login Attempts，好吧，这个插件似乎5年多没更新了：

我在Wordfence的Options下面也发现了类似功能，登陆IP的信息可以在Dashboard里面看见，那么愉快地和LLA说拜拜吧”*★,°*:.☆(￣▽￣)/$:*.°★* 。”

往下翻了翻，然后开心地发现了还有隐藏WP版本号的功能：勾上O(∩_∩)O，功能似乎还很多，需要花时间探索，这里附上官方文档。

使用Akismet

这是一个防止辣鸡评论的插件，不光是这样，防止评论里面的恶意代码攻击也很重要呢。

注册登陆后，选择个人博客，然后可以自定价格，算是一种捐款吧，因为可以这样操作。。。

不过现在yellowkod的小站还没什么流量，人工审核评论还是可行的。

为防止评论中带有恶意代码，需要在functions.php中添加这一段代码，让评论区的代码被直接输出，这样能非常清楚地看见恶意代码的存在。点击查看效果

function comment_code_escape(  $incoming_comment ) {$ incoming_comment = htmlspecialchars( $incoming_comment, ENT_QUOTES); return$ incoming_comment;
}
add_filter( 'comment_text', 'comment_code_escape' );
add_filter( 'comment_text_rss', 'comment_code_escape' );

强制用户使用https协议

使用CDN完全隐藏主机IP

这两个在之前的文章已经提到过，这里就不在重复了。

注意更新插件和WordPress

对于我这样~~喜新厌旧~~的人，只要不是新版本有什么非常影响使用的问题，当然会更新到最新版的啦，新版本一般情况下都会对旧版本的漏洞进行修复，不更新不是等着被黑客打吗

备份备份备份

真的被黑了怎么办啊，这个不是自己能控制的啊，所以还是得学会被打啊QAQ，被打哭了还得继续做网站啊，黑客把家砸了还怎么做啊，所以说让你备份啊。在自己尝试使用Godaddy的cPanel手动对网站进行了完整备份了，网站目录和数据库加起来大概120m，打包压缩后的数据有43m，看起来并不小，但是如果只是日常备份很多不重要的文件是不需要选的，而且也不会保留太多份备份，选择免费网盘的话应该也会够用。嘛~做好备份才能有东山再起的机会啊。因为菜，辣鸡的我还是找了一个插件：UpdraftPlus

看起来似乎支持很多网盘，而且还支持FTP之类的，略微设置后通过网盘验证后就能实现备份了，备份频率什么的根据自己平常修改网站的频率来设置就好。

结语

提高网站安全性的手段还有很多呢，这里yellowko就只聊了这几种，顺便感慨一句：萌新做网站真不容易啊o(*￣▽￣*)o

Blog