求索·通讯：第3期让你的wordpress更安全的两套方案

2010-08-23 14:05 ⁄ 博客心语 ⁄ 共 2199字 ⁄ 字号小中大 ⁄ 评论 20 条

wordpress更新速度一直很不错，很多人虽然对其安全有些疑问，不过相对来说wordpress的安全还是比较可靠的。今天来讲两个方法，能让你的WordPress更安全一点点的，有兴趣的尝试把。

方案一：修改WordPress默认管理员帐户名

个人博客防止被入侵，其最基本的安全措施之一就是更改默认的管理员帐户名。WordPress的默认管理员帐户名是admin，通常我们不愿意去修改它，而这就给了黑客可乘之机。默认管理员帐户名修改之后黑客就很难猜得到，下面就介绍三个简单的修改方法。

注意：在进行以下修改前，请首先备份数据库。

1、创建一个新帐户，然后删除admin帐号

创建一个新帐户并赋予所有管理权限，然后设置其昵称。

退出系统，用新帐户登录，删除原有的admin帐户。

注：昵称不要跟新的帐号名相同。因为昵称是公开的，比如会显示在评论中（举例，如果你是MR.zhang，管理员帐号可以用zhang-0823，而昵称为MR.zhang）。

2、使用插件

在这里推荐两个插件，可以修改管理员帐户名。

WPVN – Username Changer

Change Admin Username

按照提示，一步步安装即可使用。

3、用phpMyAdmin来修改

如果你用phpMyAdmin来管理数据库，则可按下面的步骤来修改管理员帐户名。而其他数据库管理程序，则稍有区别。

用phpmyadmin打开的你wp数据库，找到wp_users数据表下修改"user_login"、"user_nicename"这两项的值（编辑按钮是个铅笔图案）。更简单的是打开wp_users数据表后，看到是显示值为admin的直接修改成你想要的。 需要注意一下：WordPress后台登录是区分大小写的，修改时候千万注意！！！

重新登录和进行验证。

方案二：针对wp-admin目录

关于wp-admin目录的安全性问题，一直有人提出。WordPress安装后，默认的管理目录就是Wp-admin，这让很多人能一下子就能猜解到你的后台登录地址。如何修改这个目录就成了一些新手头疼的事情。下面就此再教你两种方法。

1、通过在wp-admin目录下写个.htaccess来限制允许访问该目录的IP。

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "acess verify"

AuthType Basic

order deny,allow

deny from all

allow from xx.xx.xx.xx

allow from xx.xx.xxx.xx

记得将这个.htaccess文件放在wp-admin目录下，xx那堆改成你所在ip地址即可。如果你是固定IP，这样的修改是最好的。

2、直接更改wp-admin目录名

修改wp-admin目录，将其换成其他名字，比如“abc”（下面就以这个目录名为例说一下）。

首先修改WordPress目录下的.htaccess文件，增加：

RewriteEngine On

RewriteBase /

RewriteCond %{REQUEST_URI} wp-admin/

RewriteCond %{QUERY_STRING}!后面可以设置一个密码

RewriteRule .*\.php [F,L]

RewriteCond %{QUERY_STRING}!与上面的那个密码相同

RewriteRule ^abc/(.*) wp-admin/$1?%{QUERY_STRING}&与上面的那个密码相同[L]

这个.htaccess实现禁止访问wp-admin下的所有.php文件，访问qiusuoge.com/abc的话会直接替换成qiusuoge.com/wp-admin下的对应文件。也就是说访问qiusuoge.com/abc与访问wp-admin的结果是一样的，但是访问wp-admin则行不通。

这里，也就是完成了wp-admin目录的更名。步骤也比较简单，只需要修改根目录下的.htaccess就可以了。

但是如果你死活想访问wp-admin的话，这样来：http://youblogurl/wp-admin?你设置的那个密码。假如你的密码是123，那么http://youblogurl/wp-admin?123 你便可以访问wp-admin目录

更名完成，但是会有一些问题需要修改部分文件。因为wp-admin被禁止访问，而部分功能还直接调用wp-admin的.php文件。这导致上传功能将不能使用；自动保存，自定义字段都变成半残废。

wp-admin/includes/media.php

wp-includes/script-loader.php

将两个文件中的wp-admin全部替换为abc。

另外需要修改wp-includes/link-template.php的第470行与500行，将wp-admin换成abc，这样edit链接与comments编辑链接将继续有效。

十分重要的提醒：

1. 如果你使用的类似wp-cache等缓存插件，一定要将你的新目录名添加到缓存过滤规则里，不然后台有的地方生成静态将是件很麻烦的事情。

2. 注意如果升级或者更改了以上的三个文件中的任何一个都需要重新修改。

ok~这样就基本完工了。你的WordPress会更加安全，有兴趣的尝试下吧～

【上篇】突然想说
【下篇】中国经济评述

您可能还会对这些文章感兴趣！

求索阁

该日志由求索阁于14年前发表在博客心语分类下，最后更新于 2010年09月24日.
转载请注明: 求索·通讯：第3期让你的wordpress更安全的两套方案 | 求索阁 +复制链接
关键字: WP相关, 求索·通讯

目前有 20 条留言访客：12 条，博主：8 条

abx： 2010年08月23日 10:03 下午 @回复 Δ1楼回复

回头试试
- 管理员明镜： 2010年08月23日 10:06 下午 @回复 ∇地下1层回复
  
  嗯，第一方案很简单易行的。
cuiqingyao： 2010年08月24日 9:55 下午 @回复 Δ2楼回复

还有一个办法就是：

你把程序安装在某个文件夹中，这个文件夹可以为ABC，

这样，别人也就猜不透你的后台登陆网址。
only博客： 2010年08月25日 12:10 下午 @回复 Δ3楼回复

几天没有来
网站弄的好丰富哦
强，支持一下！
- 管理员明镜： 2010年08月25日 12:40 下午 @回复 ∇地下1层回复
  
  谢谢支持~~呵呵，都是“路漫漫其修远兮，吾将上下而求索”哦~
记忆盒子： 2010年08月28日 12:11 上午 @回复 Δ4楼回复

又一个用wp搭建的cms！
- 管理员明镜： 2010年08月28日 12:17 上午 @回复 ∇地下1层回复
  
  呵，很早就开始拜读你的博客~
学夫子： 2010年08月28日 7:45 上午 @回复 Δ5楼回复

那个屏蔽IP应该后台都有这样的功能的吧！重点还是主机好一点啊，呵呵，不过学学这些也是很不错的
- 管理员明镜： 2010年08月28日 9:32 上午 @回复 ∇地下1层回复
  
  嗯，这个功能我没使用的。
醴陵真好： 2010年08月28日 5:47 下午 @回复 Δ6楼回复

求索阁评论框的文字好像不平呀
- 管理员明镜： 2010年08月28日 8:10 下午 @回复 ∇地下1层回复
  
  不平？什么意思呀，没明白。。。
股票入门： 2010年08月28日 9:22 下午 @回复 Δ7楼回复

这主题貌似和我用的一样。
- 管理员明镜： 2010年08月29日 7:32 上午 @回复 ∇地下1层回复
  
  同一个祖先嘛~呵呵
番薯窝： 2010年08月28日 9:54 下午 @回复 Δ8楼回复

一般的网站很少让黑客在意的
- 管理员明镜： 2010年08月29日 7:32 上午 @回复 ∇地下1层回复
  
  哇，你那有用的软件不少啊~！
亿品元素： 2010年08月29日 9:21 上午 @回复 Δ9楼回复

IE6杯具
捷易通： 2010年09月07日 2:56 下午 @回复 Δ10楼回复

支持一下……..