如何更改WordPress登录地址以防止网站被反面攻击？

很多用户在使用WordPress时会忽略一个关键的安全细节——默认登录地址的暴露，默认情况下，WordPress的登录页面地址是 /wp-admin 或 /wp-login.php，这容易被反面程序扫描并尝试暴力破解，通过修改登录地址，能有效降低被攻击的风险，以下提供两种常用方法，操作前请务必备份网站数据。

使用插件修改（适合新手）

推荐插件：WPS Hide Login、iThemes Security
插件能简化操作流程，避免手动修改代码的潜在风险。

1. 安装并激活插件

   进入WordPress后台 → 插件 → 安装插件 → 搜索“WPS Hide Login”或“iThemes Security” → 点击安装并激活。

2. 设置自定义登录地址
   • WPS Hide Login：进入 设置 → WPS Hide Login → 在“Login URL”字段输入新路径（如 /my-secret-login）→ 保存更改。
   • iThemes Security：进入 安全 → 设置 → 高级 → 重命名登录页面 → 启用功能并输入新路径。
3. 测试新地址
   • 尝试通过旧地址 /wp-admin 访问，若提示404错误，说明修改成功，新地址应为 你的域名.com/自定义路径。

️ 注意事项：

• 避免使用常见词汇（如admin、login），建议用随机字符组合。
• 记录新地址并存档,避免遗忘导致无法登录。

手动修改代码（适合开发者）

通过编辑WordPress核心文件实现,需谨慎操作。

1. 修改 functions.php 文件

   • 进入 外观 → 主题文件编辑器 → 选择当前主题的 functions.php。
   • 在文件末尾添加以下代码：

     // 自定义登录地址
     add_action('init', 'custom_login_redirect');
     function custom_login_redirect() {
         if (strpos($_SERVER['REQUEST_URI'], 'wp-login') !== false) {
             wp_redirect(home_url('/your-custom-login-url'));
             exit();
         }
     }

   • 将 /your-custom-login-url 替换为自定义路径（如 /secure-entry）。

2. 重命名 wp-login.php 文件（通过FTP）

   • 使用FTP工具（如FileZilla）连接服务器 → 进入网站根目录 → 找到 wp-login.php 文件。
   • 将其重命名为与自定义路径一致的名称（如 secure-entry.php）。
   • 访问新地址测试：域名.com/secure-entry.php。

3. 屏蔽默认登录页面（可选）
   在 .htaccess 文件中添加以下规则，阻止通过默认路径访问：

   # 阻止访问 wp-admin 和 wp-login.php
   <IfModule mod_rewrite.c>
   RewriteEngine On
   RewriteBase /
   RewriteRule ^wp-admin/?$ - [R=404,L]
   RewriteRule ^wp-login.php$ - [R=404,L]
   </IfModule>

常见问题解答

1. 修改后忘记新地址怎么办？

   • 通过FTP重命名插件文件夹（如将 wp-content/plugins/wps-hide-login 改为其他名称）临时禁用插件，恢复默认登录路径。

2. 修改后出现500错误？

   检查代码语法（如遗漏分号或括号）→ 恢复备份文件 → 重新操作。

3. 是否需要其他安全措施配合？

   是的！建议同时启用两步验证、限制登录尝试次数、安装SSL证书。

安全升级建议

• 定期更换登录地址：每隔3个月更新一次路径。
• 监控登录日志：使用插件（如WP Security Audit Log）追踪异常登录行为。
• 隐藏WordPress版本号：在 functions.php 中添加 remove_action('wp_head', 'wp_generator');。

引用说明
本文参考了WordPress官方文档、iThemes Security插件技术手册及Web服务器安全配置最佳实践，具体代码实现需根据服务器环境调整，建议在测试环境验证后上线。