手札

如何保护wp-admin目录

我们都知道wordpress的后台管理地址是wp-admin，大多数情况下，我们的后台地址是暴露出去的，这样有一定的安全隐患，本篇内容介绍一下wp-admin目录的保护方法，这里介绍两种wp-admin目录的保护方法。

第一种方法：在wordpress主题文件夹中的functions.php中加入一下代码：

add_action('login_enqueue_scripts','is_ok_admin');
function is_ok_admin(){
    if($_GET['word'] != 'admin'){
        header('Location: https://www.daima66.com/');
    }
}

这段代码的意义是判断当前的访问地址是否有admin参数，如果没有的话就跳转到指定网站。

第二种方法：我称之为最狠的wp-admin目录的保护方法。

这里如果操作过更改wordpress后台登录界面，是不会在访问后台目录时候显示的。

原理是使用htpasswds文件来进行硬保护，这个是和wordpress没有关系的，也就是说可以保护任何的服务器目录。首先我们需要创建一个htpasswds文件，这个文件会包含账号密码，可以使用https://hostingcanada.org/htpasswd-generator/在线生成一个密码文件，如下图：

输入用户名密码，和加密方式，不是WordPress会员注册登录的密码，然后就可以生成一个密码文件了。将密码文件上传到非wordpress主程序目录，如tp一样，不要放在可访问目录，目的是防止用户下载密码文件。当然如果你的主机实在是无法实现，那么就在wordpress程序目录下上传也可以，毕竟密码文件是加密后的，破解很费劲。

按照上述方式，搞定好密码文件，在根目录的.htaccess文件中添加如下代码

AuthName "hx密码保护"
AuthUserFile /home/你的外层目录/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere

根据自己网站的实际目录，调整一下上方代码中的目录名，这样打开网站后台的时候就会弹出一个输入账号密码的对话框，如下图所示：