保護(hù)wordpress的管理員登陸界面，是最重要的網(wǎng)站安全防御

近期有很多朋友的wordpress網(wǎng)站被掛馬，或者被篡改跳轉(zhuǎn)惡意網(wǎng)站向我們求助，我們?cè)趲椭麄冞M(jìn)行檢查時(shí)發(fā)現(xiàn)，大部分的用戶是因?yàn)楣芾韱T密碼設(shè)置過(guò)于簡(jiǎn)單，或者設(shè)置和網(wǎng)站域名、網(wǎng)站內(nèi)容較為接近，并且登陸界面沒(méi)有進(jìn)行安全防御遭到了掃描并進(jìn)行了密碼破解，后臺(tái)暴露導(dǎo)致的。 后臺(tái)被破解導(dǎo)致的安全問(wèn)題一直是我們對(duì)所有用戶強(qiáng)調(diào)需要防護(hù)的關(guān)鍵，比如 90%的用戶后臺(tái)暴露的原因是設(shè)置了admin為管理員用戶名，密碼則是簡(jiǎn)單的，較短的密碼。 還有的客戶可能密碼賬戶設(shè)置的較為復(fù)雜，但是登陸界面沒(méi)有防護(hù)，導(dǎo)致登陸界面一直被掃描并且嘗試登陸，這不僅不安全，也影響服務(wù)器的負(fù)載。 這里我們推薦使用 ??BasicAuth 認(rèn)證疊加主題安全碼保護(hù)wordpress的登陸界面wp-login.php,可以有效的阻斷機(jī)器人掃描、以及嘗試登陸阻斷。

寶塔linux面板輕松實(shí)現(xiàn)BasicAuth 認(rèn)證保護(hù)wp-login.php

如果你使用的是寶塔linux面板，那么你可以非常輕松的實(shí)現(xiàn)BasicAuth認(rèn)證 Basic Auth（基本認(rèn)證）是一種基于 HTTP 協(xié)議的簡(jiǎn)單身份驗(yàn)證機(jī)制，通過(guò)用戶名和密碼驗(yàn)證用戶身份。其核心原理是將用戶名和密碼拼接為 username:password格式后，進(jìn)行 Base64 編碼，并通過(guò) HTTP 請(qǐng)求頭的 Authorization字段傳輸給服務(wù)器。服務(wù)器解碼后驗(yàn)證憑據(jù)，通過(guò)則返回資源，否則返回 401 Unauthorized狀態(tài)碼 簡(jiǎn)單來(lái)說(shuō)，保護(hù)某一個(gè)文件或者URL，訪問(wèn)時(shí)會(huì)觸發(fā)瀏覽器彈出一個(gè)用戶和口令界面，需要填入正確的用戶名和口令認(rèn)證之后，才可以正常訪問(wèn)，否則返回401狀態(tài)碼，不消耗服務(wù)器資源，這樣對(duì)于高頻掃描機(jī)器人來(lái)說(shuō)，會(huì)直接阻斷他們的掃描。 設(shè)置方法，需要登陸到寶塔—進(jìn)入網(wǎng)站—-打開(kāi)網(wǎng)站設(shè)置，找到訪問(wèn)限制（如下圖，下圖已經(jīng)添加了一個(gè)，默認(rèn)這里是空的）

設(shè)置添加密碼訪問(wèn)，加密訪問(wèn)可以填寫(xiě)wordpress的默認(rèn)登陸地址：/wp-login.php 名稱(chēng)則是任意填寫(xiě)，主要為了后續(xù)維護(hù)的識(shí)別，可以填寫(xiě)：保護(hù)網(wǎng)站登陸 用戶名和密碼則是驗(yàn)證的用戶名和密碼，填寫(xiě)后訪問(wèn)登陸界面提示填寫(xiě)的。

完成設(shè)置之后，訪問(wèn)登陸界面瀏覽器會(huì)自動(dòng)提示填寫(xiě)賬號(hào)密碼：

如果不通過(guò)則是返回401狀態(tài)。 需要注意的是，BasicAuth認(rèn)證必須用https訪問(wèn)才可以，因此你需要在寶塔的ssl界面申請(qǐng)ssl證書(shū)，并且強(qiáng)制https訪問(wèn)，否則Base64 編碼的憑據(jù)在非 HTTPS 環(huán)境下可被解碼，??明文密碼可能被截獲。

繼續(xù)使用超級(jí)區(qū)塊wordpress主題系列的主題提供的登陸安全碼，雙重?cái)r截

超級(jí)區(qū)塊wordpress主題系列都提供了后臺(tái)安全碼的功能，可以填寫(xiě)安全碼進(jìn)一步提升后臺(tái)界面被掃描的幾率,進(jìn)入網(wǎng)站后臺(tái)-主題選項(xiàng)，找到登陸安全選項(xiàng)：

填寫(xiě)安全碼保存后，回到這個(gè)界面，下面會(huì)顯示新的登陸帶安全碼的地址（如上圖）。 安全碼是雙層防護(hù)： 1.設(shè)置好了之后，需要輸入正確的帶安全碼的地址才會(huì)顯示登陸界面，否則會(huì)跳轉(zhuǎn)首頁(yè) 2.將wordpress登陸的post請(qǐng)求必須攜帶安全碼,如果機(jī)器人直接發(fā)送post請(qǐng)求給wp-login.php而沒(méi)有攜帶正確的安全碼，也是直接返回首頁(yè)，從而避免了直接post跳過(guò)登陸界面的威脅。