✅ 1. 改掉后台登录路径(隐藏 wp-login.php)
推荐插件:
- WPS Hide Login:改登录地址为 /my-dashboard 或任意自定义路径
- 自动屏蔽原路径 /wp-login.php 和 /wp-admin
不影响其他插件,不破坏系统结构,但所有扫脚本都会 404 ✅
✅ 2. 限制登录尝试 + 暂时封 IP
推荐插件:
- ❌ Limit Login Attempts Reloaded
- 功能:连续输错3次就锁账号 + 封IP 15分钟起
- 可设封禁时间、邮箱提醒、日志记录
搭配 Cloudflare 使用还能做地区屏蔽(如禁止俄罗斯、越南等常见扫描地段)
✅ 3. 关闭 xmlrpc.php 接口(几乎没用却常被打)
- 插件:Disable XML-RPC
- 或用 .htaccess 屏蔽:
<Files xmlrpc.php> Order allow,deny Deny from all </Files>这个接口是很多“低级挂马工具”专扫目标,一旦关掉,大量自动化攻击直接失效。
附加建议:
- 后台只允许特定国家访问(Cloudflare 高级规则)
- 重要账号开启双重验证(推荐 Wordfence 或 Solid Security)
- 登录日志开启,每月查看一次,有异常及时处理
转载作品,原作者:,文章来源:https://www.toutiao.com/article/7521751138958311976
微信赞赏 
支付宝赞赏 
