最近用了D8主题也是出现了一些小问题,大部分都解决了。
不过前两天的时候,群里的朋友用网站漏洞检测工具查了一下,说网站有XSS跨站漏洞!
我也是赶紧查了一下,修复了XSS和后台登录地址暴露问题。
其实后台用的还是挺多的,一开始首页就有登录地址,不过前段时间有穷列举给破解了一些Wordpress博客,所以就有了这篇文章。
正文登场:
两个修改、http:///wp-login.php和http:///wp-admin/
要把wp-login.php修改掉,wp-admin还让他跳转到wp-login.php,因为也改掉的话和没改一样了就。
需要SearchMyFiles,或者你喜欢的文件搜索工具。
选择wordpress目录,搜索wp-login.php,如下图
将根目录下wp-login.php文件改名,如wp-denglu.php。
其他的文件用文本编辑器(如DW、ST2、N++、记事本)打开,搜索
改为(上面你改的名字)
readme.html、zh-CN.po、zh-CN.mo这三个不用改(po可以用Poedit修改,自动生成mo文件,这是多国语言文件包)
这里就会有问题了,域名后输入wp-admin可以跳转到登录页,所以下面的文件的固定行不能改:
wp-includes\canonical.php:531,这里的wp-login.php不用改
wp-includes\functions.php:3233,这里的wp-login.php不用改
wp-includes\general-template.php:264,这里的wp-login.php不用改
到此修改完了,但是不要在你的首页放功能小工具哦,或者其他的显示登录地址的主题你也要搜索改下。
因为主题不同,这里不再赘述。