保護wordpress的管理員登陸界面，是最重要的網站安全防御

近期有很多朋友的wordpress網站被掛馬，或者被篡改跳轉惡意網站向我們求助，我們在幫助他們進行檢查時發(fā)現(xiàn)，大部分的用戶是因為管理員密碼設置過于簡單，或者設置和網站域名、網站內容較為接近，并且登陸界面沒有進行安全防御遭到了掃描并進行了密碼破解，后臺暴露導致的。 后臺被破解導致的安全問題一直是我們對所有用戶強調需要防護的關鍵，比如 90%的用戶后臺暴露的原因是設置了admin為管理員用戶名，密碼則是簡單的，較短的密碼。 還有的客戶可能密碼賬戶設置的較為復雜，但是登陸界面沒有防護，導致登陸界面一直被掃描并且嘗試登陸，這不僅不安全，也影響服務器的負載。 這里我們推薦使用 ??BasicAuth 認證疊加主題安全碼保護wordpress的登陸界面wp-login.php,可以有效的阻斷機器人掃描、以及嘗試登陸阻斷。

寶塔linux面板輕松實現(xiàn)BasicAuth 認證保護wp-login.php

如果你使用的是寶塔linux面板，那么你可以非常輕松的實現(xiàn)BasicAuth認證 Basic Auth（基本認證）是一種基于 HTTP 協(xié)議的簡單身份驗證機制，通過用戶名和密碼驗證用戶身份。其核心原理是將用戶名和密碼拼接為 username:password格式后，進行 Base64 編碼，并通過 HTTP 請求頭的 Authorization字段傳輸給服務器。服務器解碼后驗證憑據，通過則返回資源，否則返回 401 Unauthorized狀態(tài)碼 簡單來說，保護某一個文件或者URL，訪問時會觸發(fā)瀏覽器彈出一個用戶和口令界面，需要填入正確的用戶名和口令認證之后，才可以正常訪問，否則返回401狀態(tài)碼，不消耗服務器資源，這樣對于高頻掃描機器人來說，會直接阻斷他們的掃描。 設置方法，需要登陸到寶塔—進入網站—-打開網站設置，找到訪問限制（如下圖，下圖已經添加了一個，默認這里是空的）

設置添加密碼訪問，加密訪問可以填寫wordpress的默認登陸地址：/wp-login.php 名稱則是任意填寫，主要為了后續(xù)維護的識別，可以填寫：保護網站登陸 用戶名和密碼則是驗證的用戶名和密碼，填寫后訪問登陸界面提示填寫的。

完成設置之后，訪問登陸界面瀏覽器會自動提示填寫賬號密碼：

如果不通過則是返回401狀態(tài)。 需要注意的是，BasicAuth認證必須用https訪問才可以，因此你需要在寶塔的ssl界面申請ssl證書，并且強制https訪問，否則Base64 編碼的憑據在非 HTTPS 環(huán)境下可被解碼，??明文密碼可能被截獲。

繼續(xù)使用超級區(qū)塊wordpress主題系列的主題提供的登陸安全碼，雙重攔截

超級區(qū)塊wordpress主題系列都提供了后臺安全碼的功能，可以填寫安全碼進一步提升后臺界面被掃描的幾率,進入網站后臺-主題選項，找到登陸安全選項：

填寫安全碼保存后，回到這個界面，下面會顯示新的登陸帶安全碼的地址（如上圖）。 安全碼是雙層防護： 1.設置好了之后，需要輸入正確的帶安全碼的地址才會顯示登陸界面，否則會跳轉首頁 2.將wordpress登陸的post請求必須攜帶安全碼,如果機器人直接發(fā)送post請求給wp-login.php而沒有攜帶正確的安全碼，也是直接返回首頁，從而避免了直接post跳過登陸界面的威脅。