wordpress隐藏后台管理登录地址修改wp-admin确保WordPress网站后台安全

WordPress程序建网站的默认登录后台登陆地址为“域名/wp-admin”，这样难免有被恶意登陆窃取网站资料的风险。为了网站安全，建议修改下Wordpress网站默认登录地址wp-admin。

add_action('login_enqueue_scripts', 'enhanced_login_protection');

function enhanced_login_protection() {
    // 使用更复杂的密钥和加密方法
    $secret_key = 'your_long_random_secret_key';
    $current_time = floor(time() / 300); // 5分钟变化一次
    $expected_hash = hash_hmac('sha256', $current_time, $secret_key);

    if (!isset($_GET['access_token']) || $_GET['access_token'] !== $expected_hash) {
        // 记录访问尝试
        error_log("Unauthorized login attempt from IP: " . $_SERVER['REMOTE_ADDR']);
        
        // 返回404错误，而不是重定向
        header("HTTP/1.0 404 Not Found");
        exit("404 Not Found");
    }
}

// 在wp-config.php中添加：
// define('LOGIN_SECRET_KEY', 'your_long_random_secret_key');

将这段代码添加到主题下的functions.php文件中。

使用基于时间的哈希值，每5分钟变化一次，增加安全性。使用 hash_hmac 函数生成更安全的令牌。3. 记录未授权的访问尝试。返回404错误，不暴露登录页面的存在。

使用方法：生成访问链接：https://your-wordpress-site.com/wp-login.php?access_token=生成的哈希值注意事项：确保使用HTTPS来保护传输过程。定期更换密钥。考虑实施更多的安全措施，如双因素认证、登录尝试限制等。这种方法应该只是多层安全策略中的一部分，不应该完全依赖它。