WordPress加密后台管理登录地址(地址隐藏+IP限制)

今天老白博客给大家分享一个WordPress网站防护的小妙招：代码实现WordPress更改/加密后台wp-login.php登录地址。大家都知道WordPress系统默认的后台地址是 域名/wp-admin 或域名/wp-login.php ，这就意味着所有用WordPress的人都可以用这个地址打开你的后台登录页面，一些有心人就会通过各种手段去爆破你的后台，一旦成功，后果不堪设想。本文分享的教程包括后台登录地址隐藏与白名单IP限制两种。

1.wp-login加密方式

WordPress后台的默认登录形式为/wp-login.php，代码法有两种，一种是在wp-login.php后加特征字符；另外一种是通过设置白名单IP来允许特定的管理员IP访问后台地址。

大家选择合适自己的方式即可，当然，为了万分万稳妥，两种方式都用也可以😂。

2.加密后台管理地址

2.1 设置登录验证密钥

打开 wp-config.php 文件

在文件中找到 /* That's all, stop editing! Happy blogging. */ 这一行，并在其上方添加以下代码：

// 设置登录验证密钥
define( 'WP_LOGIN_KEY', 'aR@nd0m$xcbtmwCOM$ecur1ty' );

2.2 登录地址修改

在主题的function.php文件，添加代码：

// 后台登录地址修改-https://www.xcbtmw.com/29395.html
add_action('login_enqueue_scripts', 'tb_wp_login_protection');
function tb_wp_login_protection() {
    // 获取 wp-config.php 中定义的安全密钥
    $secure_key = defined('WP_LOGIN_KEY') ? WP_LOGIN_KEY : '';

    // 检查 URL 中的参数是否匹配
    if( !isset($_GET['login_key']) || $_GET['login_key'] !== $secure_key ) {
        // 如果密钥不匹配，则重定向到首页
        wp_redirect(home_url());
        exit;
    }
}

2.3 修改后的地址

访问登录页面时需要在 URL 中附带正确的 login_key 参数，如果参数不对，就会直接返回网站首页

https://www.xcbtmw.com/wp-login.php?login_key=自定义Key

3.只特定IP访问后台

限制指定IP地址或IP网段允许访问登录页面，即使攻击者知道了管理员用户名和密码，他们也无法打开登录页面入侵网站后台。

方法和代码见不凡：https://wp.bufanz.com/wordpress/limiting-specific-ip-addresses-wp-login.html

更多WordPress网站防护教程见文末标签！