上周帮一个家居外贸站做安全审计,发现日志里每天有3000多次针对/wp-admin的暴力破解尝试——这还只是个小站!这让我想起2023年Cloudflare报告指出的:跨境电商站点的WordPress登录页面被扫描频率是普通网站的17倍。最讽刺的是什么?很多卖家舍得花大价钱买防火墙,却连改登录地址这种基础操作都不做。
隐藏登录地址这事,新手容易踩三个坑:
- 直接改.htaccess导致后台彻底打不开(别笑,我每年都要处理至少5起这种救援工单)
- 用了某些安全插件改地址,结果把REST API也给屏蔽了,导致移动端无法下单
- 改完地址后忘记把/wp-admin目录重定向,黑客照样能扫出来
有个反常识的数据:去年Sucuri统计显示,改了登录地址的站点被入侵概率降低68%,但因此导致的客服咨询量却增加了40%——因为运营人员自己也找不到后台入口了(建议在改地址时,给每个员工单独发带token的登录链接)
(说个真实糗事:有次给客户改了超复杂的登录地址,结果三个月后他自己都忘了,最后不得不从数据库里翻记录...现在我的标准操作是:把新登录地址设置成客户品牌名+他老婆生日,保证既安全又好记)