2013.07.31 補充:4.0.0 版之後的「Stealth Login Page」,其運作方式有很大的變更,請參考這篇文章。
「WordPress」是一款非常受歡迎的部落格架站平臺(它平身也有經營 BSP 服務:「WordPress.com」),不只整體功能強大且使用方便,其數量龐大的各式擴充套件更是吸引眾多部落客使用的誘因之一。由於使用者數量龐大,因此以「WordPress」架設的網站常常是駭客們攻擊的目標。加上「WordPress」的登入頁面及管理後臺頁面網址是非常好記又固定的,因此也常引來有心人士嚐試登入,甚至是透過程式配合密碼字典檔惡意登入。
今天要介紹給大家一款能對登入頁面及後臺管理頁面進行有效保護的擴充套件:「Stealth Login Page」。該擴充套件透過於網址後方自訂參數的方式,將嚐試登入網誌的非法使用者擋在門外。
「Stealth Login Page」的設定及使用方式非常簡單,只要在設定頁面中勾選「Enable Stealth Mode」,然後在「question」欄位輸入要加於網址後方的參數名稱、「answer」欄位輸入參數值,並在「URL to redirect unauthorized attempts to」的欄位設定非法存取的使用者要被導到的網頁即可。
設定完成後,以後要登入網誌或進入後臺管理頁面就必須透過類似以下的網址才能連線到登入頁面:
http://yourDomain/wp-login.php?question=answer
其中「yourDomain」是網誌的位址,「question」及「answer」是在設定頁面中設定的參數名稱及參數值。沒有正確輸入網址後方參數的所有連線,都會被導到所設定的非法存取頁面。
在使用「Stealth Login Page」前,每天 Email 都會收到「Limit Login Attempts」所發出的封鎖 IP 提醒,在使用「Stealth Login Page」後就完全沒收到過了。這證明了「Stealth Login Page」所提供的是簡單又有效的防護,的確能將惡意嚐試登入的威脅減低。如果你也是「WordPress」的使用者,不妨趕快在管理後臺搜尋並安裝這款擴充套件,進一步保護部落格的安全。
相關連結:
這樣對於開放註冊的網站是否就不適用了?
開放註冊的網站,還是找找其它方案吧 XD