Wordpress隐藏wp-admin以使用htacess进行保护

WordPress是一种流行的开源内容管理系统（CMS），用于创建和管理网站。它提供了一个用户友好的界面，使用户可以轻松地创建和编辑网站内容。WordPress的核心功能可以通过安装和配置插件来扩展，以满足不同用户的需求。

隐藏wp-admin是一种常见的安全措施，旨在保护WordPress网站免受恶意攻击。通过隐藏wp-admin目录，攻击者无法直接访问WordPress后台登录页面，从而增加了网站的安全性。

隐藏wp-admin可以通过修改网站的.htaccess文件来实现。.htaccess是一个位于网站根目录的配置文件，可以用来控制网站的访问和行为。以下是隐藏wp-admin的步骤：

打开网站的根目录，找到.htaccess文件。如果网站根目录中没有.htaccess文件，则可以创建一个新的文件。
使用文本编辑器打开.htaccess文件，并在文件的末尾添加以下代码：
使用文本编辑器打开.htaccess文件，并在文件的末尾添加以下代码：
这段代码使用了Apache的mod_rewrite模块来重写URL。它将wp-admin重定向到wp-admin/，从而隐藏了wp-admin目录。
保存并关闭.htaccess文件。

现在，当访问网站的wp-admin目录时，URL将显示为wp-admin/，而不是直接显示wp-admin。这增加了网站的安全性，因为攻击者无法直接找到登录页面。

隐藏wp-admin可以提供一定的安全性，但并不是唯一的安全措施。为了确保网站的安全，还应采取其他措施，如使用强密码、定期更新WordPress和插件、限制登录尝试次数、使用安全插件等。

腾讯云提供了一系列与WordPress相关的产品和服务，例如云服务器、云数据库、CDN加速等。您可以访问腾讯云官方网站（https://cloud.tencent.com/）了解更多关于这些产品的详细信息。

相关·内容

使用自编码器进行数据的匿名化以保护数据隐私

使用自编码器可以保持预测能力的同时进行数据匿名化数据。在这篇文章中，我们将看到如何使用自动编码器(一种特殊的人工神经网络)来匿名化数据。...在第二部分中，我将展示如何使用自动编码器对表格数据进行编码，以匿名化数据，并将其用于其他机器学习任务，同时保护隐私。...基于原始数据的基准性能在匿名化数据之前，我们可以尝试使用一个基本的随机森林进行交叉验证，以评估基线性能。...我们还可以绘制特征的重要性，以了解哪个特征影响目标变量。...在数据应该传递到外部以在其他预测机器学习平台上进行测试的情况下，这可能非常有用(想象一下在云上测试模型)。一个受过良好训练的自动编码器保留了原始数据的预测能力。

5384 0

WordPress的管理员用户名是如何泄露的，以及如何防护~

攻击者是怎样拿到你的Wordpress 【管理员用户名】的，以及如何保护自己的管理员账户不被获取，这篇文章就来谈谈！！！...获取 1、先说说管理员账户如何泄露攻击者或者攻击程序构造了:https://你的域名/wp-json/wp/v2/users/ 的URL进行GET，这样99%会返回一串信息，里面包含了你的管理员账户...2、确认是否使用了wordpress程序其实上面的代码差不多已经确认你用的是wp程序了，这里还是提及一下：攻击者或者攻击程序通过构造 https://你的域名//wp-includes/wlwmanifest.xml... 的URL进行GET，来判断你是否使用了Wordpress程序。.../wp-admin/ ]]> <![CDATA[ {blog-postapi-url}/../wp-admin/post.php?

5.1K2 0

wordpress安全插件iThemes Security使用经验分享

1、隐藏wordpress后台的登陆地址我们wordpress网站的后台登陆地址一般是暴露的，而且没有验证码机制，这就可以被利用来暴力破解，很容易获取到网站的用户名，然后就用程序使劲的猜密码，就有可能破解和获得你的...隐藏登录页面（wp-login.php, wp-admin, admin 和 login）使其更难通过自动化攻击找到，并使不熟悉 WordPress 平台的用户更容易。...保护自己免受攻击的最佳方法之一是有权访问您站点的数据库备份。如果出现问题，您可以通过从备份中恢复数据库并用新文件替换文件来恢复站点。使用下面的按钮为此目的创建数据库的备份。...4、本地暴力攻击保护针对保留攻击和破解的ip可以根据频率然后锁定这些ip的访问。如果一个人有无限的时间，并想尝试无限数量的密码组合进入您的站点，他们最终会这样做，对吧？...这种攻击方式被称为暴力攻击，是 WordPress 非常敏感的事情，因为默认情况下，系统并不关心用户进行多少次尝试登录。其会一直让您再试一次。

7934 0

wordpress默认后台登陆管理地址修改方法汇总

本篇文章内容分享给大家如何对wordpress后台地址进行修改的几种方法，供大家使用和参考，wordpress程序的默认登陆地址链接为http://xxx.com/wp-login.php。...//保护后台登录 qintia.com function login_protection(){ if($_GET['word'] !...="2818442945"){ header('Location:/404 '); } wordpress后台登陆地址修改方法之RewriteRule法 1.首先给wp-admin目录改名,比如我改成dawa...因为wp-admin被禁止访问，而部分功能还直接调用wp-admin的.php文件。这导致上传功能将不能使用；自动保存，自定义字段都无法使用。...如果使用了wp-cache等缓存插件，一定要将你的新目录名添加到缓存过滤规则里，不然后台有的地方生成静态会很麻烦的。

8.3K2 0

WordPress 通过加密隐藏 wp-loginadmin 后台默认登录地址

由于 WordPress 用的人实在多，被誉为最安全的 CMS 内容管理系统，所以知道后台地址的也多。...今天普曼斯就来跟大家分享下如何通过纯代码方式隐藏 WordPress 后台登录地址（wp-login）和管理地址（wp-admin），以此增加 WordPress 的安全性。...加密隐藏 wp-login：编辑当前主题的 functions.php 文件，在末尾添加： // WordPress 隐藏加密 wp-login 后台登录地址 add_action('login_enqueue_scripts...wpexp or 你的网站域名/wp-admin?wpexp 如果没有输入加密字符，将会直接跳转到网站首页。当然，你可以根据自己的需求将网站首页home_url改成你自己需要的页面！...如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

1.3K4 0

使用Web日志还原攻击路径

以web服务为例，访问日志access.log记录了所有对Web服务器的访问活动。...在确定了日志文件是一项关键资产之后，让我们通过一个攻击案例来进行web日志安全分析，还原攻击路径。攻击案例假设我们管理的WordPress网站遭到篡改： ?...其中，wp-admin 是WordPress的管理后台，wp-login 是WordPress的登录页面，POST表示使用POST方法将HTTP请求发送到服务器，一般来说主要是登录表单和数据提交。...28表明攻击者通过脚本代码进行操作，但并未发现任何有趣的东西。...通过日志分析，我们发现了攻击者的攻击路径和安全事件的根本原因：管理员所使用的那款自定义WordPress插件中存在SQL注入漏洞，导致攻击者通过SQL注入漏洞获取管理员账号密码，从而登录管理后台进行网页篡改

1.5K1 1

最受欢迎的网站搭建程序WordPress，遭遇了“假勒索攻击”

有意思的是，这实际上是一轮假的勒索攻击，在网站显示的也是假的加密通知，攻击者试图通过勒索攻击的恐惧引诱网站所有者支付 0.1枚比特币进行恢复（约 6,069.23 美元）。...如下图所示，这些勒索赎金的通知看起来非常真实，还带有倒数计时器以增加紧迫感，其目的是为了增加网站管理员支付赎金的概率。...烟雾和镜子网站安全服务提供商Sucuri发现了这些假勒索攻击，并为其中一名受害者进行应急响应工作。...最后，Sucuri建议用户采取以下安全措施，避免网站再次被黑客攻击： 1.查看站点管理员用户，删除任何虚假帐户，并更新/更改所有wp-admin密码； 2.保护网站wp-admin管理员页面； 3.更改其他接入点密码...（包括数据库、FTP、cPanel 等）； 4.做好防护墙保护工作； 5.做好备份工作，即使真的被攻击了依旧可以恢复； 6.由于通过WordPress搭建的网站经常被攻击，因此要确保所有已安装的插件都是最新的版本

4572 0

从瑞士军刀到变形金刚--XSS攻击面拓展

xhr来传递cookie，但可惜的是，由于wordpress的身份验证cookie是httponly，我们无法使用简单的documen.cookie来获取cookie。...由于wordpress的特殊性，我们可以通过xss来请求安装插件来简化上面的攻击链，简化整个流程，当我们访问： http://wordpress.site/wp-admin/update.php?...当然除了攻击网站以外，我们可以通过使用xss来注入恶意payload到页面，当用户访问页面时，会不断地向目标发起请求，当网页的用户量达到一定级别时，可以以最低的代价造成大流量的ddos攻击。...XSS的后端利用这里首先介绍一个WordPress的插件UpdraftPlus，这是一个用于管理员备份网站的插件，用户量非常大，基本上所有的wordpress使用者都会使用UpdraftPlus来备份他们的网站...END：拓展与思考整篇文章其实是我在对wordpress源码审计时候的一些思考，对于大部分通用类的cms，开发者往往过于相信超级管理员，其中wordpress就是典型代表，开发者认为，网站的超级管理员应该保护好自己的账户

5001 0

如何在Ubuntu 14.04上保护Nginx

如果你有域名，保护你网站的最简单方法是使用腾讯云SSL证书服务，它提供免费的可信证书。腾讯云SSL证书安装操作指南进行设置。...您不仅应该在Nginx中隐藏服务和调试信息，还应该在后端引擎（PHP，Tomcat等）中隐藏服务和调试信息，当然还应该隐藏在Web应用程序中。...例如，如果您有一个WordPress站点并且其管理区域位于/wp-admin/，则应将其访问权限仅限于您的IP或所有管理员的IP。...根据示例，攻击者和他们使用的自动化工具将会看到404找不到的页面，而不是通常的WordPress管理页面。这很令人困惑，可能会阻止他们尝试其他方法来破坏你的WordPress。...理想情况下，您的报告应该如下所示，没有发现漏洞：如果存在漏洞，则可以展开扫描的相应部分以获取更多信息。确保经常使用不同的工具运行此类扫描，以确保对您的Nginx和网站进行最全面和最彻底的审核。

1.6K2 0

十条关于 WordPress 安全性的小贴士

WordPress 本质上并没大家认为的那么危险，而且开发者也在努力工作，以确保危险漏洞能被快速修复。...大多数人都将其保留在主要的 WordPress 文件夹中，但可以将其移动到上层的文件夹。大多数情况下，该文件夹位于 Web 服务器根目录之外，而且无法通过 HTTP 请求进行访问。...限制 IP 地址访问如果你有几个具有静态 IP 地址的编辑器，则可以通过向 wp-admin 文件夹添加另一个 .htaccess 文件来限制访问： order deny, allow allow...隐藏 WordPress 版本号某些版本的 WordPress 存在已知的漏洞。任何人也都可以轻松发现你正在使用的版本，因为它显示在每个页面的 HTML 标签里面。...而且在进行在线安装时，还要注意验证插件的真实性并在本地服务器上进行测试。 10. 定期更新 WordPress 和插件 WordPress 会自动更新，但主要版本需要一键激活过程。

6723 0

漏洞分析：WordPress图片插件Fancybox-For-WordPress漏洞导致批量挂马

Fancybox For WordPress是一款很棒的WordPress图片插件，它可以让你的WordPress图片弹出一个漂亮的浏览界面，展示丰富的弹出层效果。...漏洞分析这个漏洞存在于低于3.0.2版本的插件，而漏洞利用的是一个针对wp插件的一个比较常见的攻击途径：未经保护的admin_init钩子。...由于admin_init钩子可以被任何访问/wp-admin/admin-post.php或/wp-admin/admin-ajax.php页面的人调用，攻击者就可以将插件中的“mfbfw”选项更改成任何内容...而引起我们注意的是mfbfw_init()函数，这个函数会显示jQuery脚本，使用了我们之前在mfbfw_admin_options()函数中设定的参数。...因此攻击者如果使用未经保护的admin_init钩子就能够在被攻击网站的所有网页注入恶意javascript攻击负载，比如恶意的iframe。

1.4K10 0

WordPress 技巧：清理选项设置，加速博客运行效率

但是由于一些 WordPress 插件写的不规范或者考虑的不全面，会在系统中留下一些使用的痕迹，所以 WordPress 会越用会越慢。...通过这个 url 就可以查看到所有选项设置：http://你博客安装 URL/wp-admin/options.php，并且还能修改设置，不过有些数据是以序列化形式保存的（比如一些复杂的设置以一个数组存到选项中...使用插件清理 WordPress 中没用的选项设置如果你觉得手工在 PHPMyAdmin 删除这些选项风险太大，毕竟有很多选项是 WordPress 自带，有时还是比较难以判断的，那么我们可以通过插件来进行清理...WP-Options-Manager WP-Options-Manager 这个插件可以让你浏览，删除和 debug 博客的选项，并且它会自动被隐藏 WordPress 默认的选项和搜索废弃的选项，然后可以根据自己的需求将其删除...博客高速运行之道安装真正需要的 WordPress 插件，在使用了一段时间 WordPress 博客之后，对其进行清理，这样才能保持博客高速运行。 ----

3232 0

修改WordPress后台登录地址

解决办法除了安装插件限制IP登录次数外，还可以将登录地址隐藏起来，相当于给后台上了双层保险。...更改主题function 最简单也最常用的方法就是在主题的function.php中加入如下代码 //保护后台登录 add_action('login_enqueue_scripts','login_protection...如果不在乎这些的话也是个不错的方法更改默认登录文件名此方法需要修改php文件，强烈建议事先备份，出现问题直接覆盖还原建议关闭WordPress核心更新，否则每次更新都需要重新更改地址 WordPress...默认的登录文件为wp-login.php,那么我们要做的就是把这个文件名字换成自己想要的，步骤如下转到网站根目录，将wp-login.php改成想要的名称(不容易被猜到的)，这里以hell.php为例...举例，意思是如果有人通过wp-admin尝试登录后台或者直接访问后台某个地址时跳转到site_url()设置的地址内。

2.9K3 0

使用debug_backtrace()做PHP调试

其实站只是一个特殊的数据结构，它只允许在一串数据的一段进行操作，比如增加数据元素(入栈),删除数据元素(出栈)。...调用栈的维护对多数软件的正常运转有着重要意义，但一般高级语言都会隐藏其细节并自动进行维护。既然细节被隐藏了，那么就不用深究了。下面就引出今天的主角函数。...主要功能：他们保存了函数的调用栈信息，一个不输出以数组形式保存，另一个直接输出调用栈，调试的时候一般使用debug\_print\_backtrace()。...\crayon-syntax-highlighter/trans/) called at [D:\phpnow\vhosts\wordpress.com\wp-admin\includes\plugin.php...\wp-admin\includes\plugin.php:99] #3 get_plugin_data(D:\phpnow\vhosts\wordpress.com\wp-content\plugins

5031 0

如何在Ubuntu 14.04上使用Fail2Ban保护WordPress

没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。为管理任务配置了sudo权限的非root用户。...第1步 - 安装WordPress Fail2ban插件首先，通过访问浏览器的https://your_server_ip/wp-admin网址并使用您在安装WordPress时创建的管理凭据登录到WordPress...我们将使用“硬”WordPress过滤器来获得更好的保护： sudo cp /var/www/html/wp-content/plugins/wp-fail2ban/filters.d/wordpress-hard.conf...再次打开jail.local进行编辑： sudo nano /etc/fail2ban/jail.local 以下行将列出以本地服务器IP（localhost）开头的任何被忽略的IP地址，其中一个空格将您想要访问...第4步 - 测试过滤器要测试过滤器是否正常工作，您可以注销WordPress站点的wp-admin站点并再次登录。您可以使用此Fail2ban监狱状态，以确保过滤器未记录您的成功登录。

9051 1

WordPress开发人员犯的12个最严重的错误

在使用它们之前，我建议您很好地理解命名空间，因为它们常常以错误的方式使用。根据您进行的项目，很可能您必须坚持现有的编码风格，除非您的工作大部分与现有的代码分离。...如果您必须扩展已经遵循WordPress 的PHP编码标准的现有插件或主题，那么最好坚持使用它们以保持一致的样式，以便代码变得干净，易于阅读。注意，为了提高性能，一些规则被普遍应用，忽略了编码风格。...一旦了解了它的工作原理，请考虑来自Toptal开发人员的Git最佳实践和提示，以更深入的方式解释使用Git的几种方法。...使用Nonces：如WordPress 文档中所述，随机数是一个“使用一次的数字”，用于帮助保护URL和表单免受某些类型的滥用，恶意或其他类型的滥用。...有时，这些黑客隐藏得如此之好，以至于你需要对你的网站进行适当的扫描，并查看特定文件被更新的日期，以便发现被入侵的代码。

2.9K1 0

linux.zip文件怎么解压,linux怎么解压zip文件

例如，要将Wordpress存档解压缩latest.zip到/var/www/目录，您将使用以下命令sudo unzip latest.zip -d /var/www 在上面的命令中我们使用/var/...当使用sudo解压缩ZIP文件时，提取的文件和目录将由用户root拥有。如何解压缩受密码保护的ZIP文件要解压缩受密码保护的文件，使用-P 选项后跟密码。...文件会被覆盖，如果您对文件进行了任何更改，则更改将会丢失如何在不覆盖现有文件的情况下解压缩ZIP文件假设您已经解压缩了一个ZIP文件，并且您对某些文件进行了更改，但是您不小心删除了一些文件。...2018-03-09 01:15 wordpress/wp-admin/themes.php 8353 2017-09-10 18:20 wordpress/wp-admin/options-reading.php...4620 2017-10-24 00:12 wordpress/wp-trackback.php 1889 2018-05-03 00:11 wordpress/wp-comments-post.php

18.3K3 0

伪造的 jQuery Migrate 插件生成恶意文件感染 WordPress 网站

该代码会引用 /wp-admin/user-new.php，这是 WordPress 用于创建新用户的管理页面。...此外，代码还访问了 WordPress 用来执行跨站点请求伪造（CSRF）保护的 _wpnonce_create-user 变量。...一般来说，能够获取或设置 CSRF 令牌，将使攻击者就有能力代表用户进行伪造请求，在 WordPress 网站上注入这样的脚本，可以让攻击者进行各种恶意活动，最严重包括从骗取信用卡到将用户重定向到诈骗网站等...如何检测 WordPress 站点是否受到影响截至目前，有超过 720 万个网站都在使用 jQuery Migrate 插件，从上面的分析可知，WordPress 在 /wp-includes/js/...文件是否被替换了，如果你不能确认，最好直接从官网上下载 WordPress 压缩包，替换一下相关文件，除此之外还需要对网站活动进行检查，以确实是否存在恶意活动迹象等异常情况。

6032 0

WordPress Photoswipe Masonry Gallery 1.2.14 跨站脚本

由于 Wordfence 防火墙的内置跨站点脚本 (XSS) 保护，所有 Wordfence 用户，包括我们的免费、高级、关怀和响应产品的用户都可以免受针对此漏洞的攻击。...admin_menu 操作执行此操作以将其他菜单页面添加到 WordPress 站点的管理区域。...这意味着访问易受攻击站点的 /wp-admin 区域的经过身份验证的用户将触发挂钩并最终执行与挂钩相关联的功能。在这种情况下，这是更新功能。...此恶意 JavaScript 可用于将访问图库的站点访问者重定向到恶意域以进一步感染或在管理员访问包含恶意负载的页面时注入新的管理用户帐户。因此，请务必尽快确认您的网站已更新到最新版本。...我们验证 Wordfence 防火墙是否提供了足够的保护。我们尝试与开发者联系。 2021 年 11 月 30 日 – 在开发人员没有回应后，我们将完整的披露细节发送给 WordPress 插件团队。

1.1K1 0

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云