Um sich bei Ihrem WordPress-Blog-Admin-Dashboard anzumelden, ist die wp-login.php die zu besuchende Datei. Viele Spammer verwenden Bruteforce-Passwörter, bis sie es richtig haben. Dies gefährdet nicht nur die Sicherheit Ihres Blogs, sondern verbraucht auch Traffic-Bandbreite.
Sie könnten Ihr Besuchsprotokoll überprüfen und bestimmte IPs sperren. Diese Lösung ist jedoch möglicherweise nicht allgemein und effektiv, wenn die Angriffe von mehreren/verteilten IPs, z. B. DDOS, stammen. Die folgende Lösung ist einfach und dennoch leistungsstark/effektiv. Es funktioniert, indem es die wp-login.php versteckt oder eine zusätzliche Sperre setzt, die nur du kennst.
Der Ansatz besteht darin, die wordpress functions.php (vorzugsweise im Template-Ordner des Child-Themes) zu bearbeiten und die folgenden Zeilen PHP-Code hinzuzufügen :
Speichern Sie einfach die Datei, und wenn Sie sich das nächste Mal bei Ihrem Dashboard anmelden möchten, müssen Sie sie wie folgt aufrufen:
/wp-login.php?secret=helloacm
Sie können das Schlüssel-Wert-Paar entsprechend Ihrem Favoriten ändern. Wenn die geheimen Werte nicht übergeben werden, werden die Benutzer auf die Homepage umgeleitet, aber um es besser zu machen, möchten Sie vielleicht einen 404 – nicht gefunden – Fehler zurückgeben, der die Angreifer verwirren/irreführen kann, so dass sie die Brute-Force-Angriffe aufgeben.