大家知道我博客一直使用的是wordpress程序，而且主題也是我自己做的ZL-didiao主題，做為博客主，我們總在擔心我們的博客網站是否安全，同時我也一直再找一個比較好的安全防護方法。我們一直都以為黑客們不知道我們網站的用戶名，就算知道后臺登陸地址也沒事，直到今天才發現，使用WordPress建站的博主們的用戶名都是可見的，除非采取了其他措施來保護。大部分博主的后臺路徑都是：http://網站地址/wp-login.php。

大部分博主的后臺登陸用戶名都可以這樣查看到：http://網站地址/?author=1，多用戶的可以把1變為2、3、4、5等，就可以在地址欄查看到各個用戶名。知道了后臺登陸地址和用戶名后，剩下的就是用暴力破解密碼了，如果沒有任何防護的話，成功指數相當高。

為了保障我們的后臺安全，建議安裝一個Limit Login Attempts插件，來限制強行登陸的次數，同時修改后臺登陸地址和隱藏我們的用戶名。

修改后臺登陸地址:

我在網上找了很多方法，大部分就是在所用主題的functions.php文件的?>前面添加以下代碼即可實現。

1. add_action(‘login_enqueue_scripts’,’login_protection’); 
2. function login_protection(){ 
3. if($_GET[‘word‘] != ‘press’)header(‘Location: http://網站地址/’); 
4. }//Vevb.com 

但經本人測試，在本地WIN主機測試是成功的，但是上傳到Linux服務器卻發生錯誤：Cannot modify header information，據說是因為header()要求太苛刻。

本人覺得既然是header()出錯，而且它只是用來跳轉而已，何不用JS實現跳轉呢，于是修改為:

1. function login_protection(){ 
2. if($_GET[‘word’] != ‘press’){ 
3. $url = “http://網站地址”; 
4. echo “ 
5. } 
6. } 
7. add_action(‘login_enqueue_scripts’,’login_protection’); 

上傳到服務器一測試，果然成功了，登陸http://網站地址/wp-login.php會直接跳轉到我們指定的頁面，要登錄必須是http://網站地址/wp-login.php?word=press才行，而word、press、跳轉的頁面都是我們自己設置的，而且word、press只有自己知道，大大提高了其安全性。

隱藏用戶名:

這個也同樣道理,直接將“作者文章列表(?author=1)”跳轉到指定的頁面,這樣就可以做到隱藏用戶名的目的.

同樣在所用主題的functions.php文件的?>前面添加以下代碼:

1. add_filter( ‘author_link’, ‘my_author_link’ ); 
2. function my_author_link() { 
3. return home_url( ‘/’ ); 
4. } 

其中home_url( ‘/’ )是跳轉到主頁，這里也可以設置為指定的頁面，比如grda頁面，可以為home_url( ‘grda’ )。

安裝了限制強行登錄次數的插件、修改了后臺登陸的地址和隱藏了用戶名，我相信這個時候的系統應該還是挺安全的。

寫給哪些用wordpress程序做站的朋友們，為了你的網站安全，千萬不要錯過看了！