后台地址泄露,网站被攻击!”上周一位做珠宝独立站的客户急得打电话——他的WordPress后台地址是默认的“ /wp-admin”,被黑客扫描到后,网站被挂了3天“勒索弹窗”,损失超10万!
其实隐藏后台地址很简单,我们总结了3个方法:① 用.htaccess文件重写规则(适合有服务器权限的客户),把“wp-admin”指向一个随机字符串的路径(比如“x9z2q7”);② 安装插件“iThemes Security”,一键生成随机后台地址;③ 用Nginx配置反向代理,把后台请求转发到非标准端口(比如8081)!
客户按第二种方法操作后,后台地址变成了“ /admin-xxxxx”,上周扫描测试显示:黑客工具再也找不到他的后台入口!他开玩笑说:“现在黑客比我妈还难找到我家后门~”
还要提醒:除了隐藏地址,一定要定期改后台密码(用“字母+数字+符号”组合),关闭“文件编辑”功能(在wp-config.php里加“define('DISALLOW_FILE_EDIT', true);”)。安全无小事——你的独立站,值得更“隐秘”的保护!