利用HTTP状态对WP后台做双重验证

2011年11月11日 分类: 网来往事

也许你对Wordpress单一的Web认证页面表示不满意,那么我们来加入HTTP状态验证提高安全性吧~

 

 

WordPress默认后台是在./wp-admin/index.php下,登陆认证页面在./wp-login.php下

首先登陆FTP,把./wp-admin/index.php和./wp-login.php分别命名为./wp-admin/index2.php和./wp-login2.php,名称不限定,此处仅为示范。

新建一个PHP文档,键入以下内容:

<?php
  if (!isset($_SERVER['PHP_AUTH_USER'])) {
   header('WWW-Authenticate: Basic realm="Lolita Ltd. Login"');
   header('HTTP/1.0 401 Unauthorized');
   echo "Access Denied!";
   exit;
  } else	{
			if ($_SERVER['PHP_AUTH_USER'] == "admin" & $_SERVER['PHP_AUTH_PW'] == "lingxi")
				{
					include ("./upl.html");
				}
			 else
				echo "— Invalid username or password —";
			}
?>

 

其中,Lolita Ltd. Login为401验证提示信息,Access Denied为用户取消验证后反馈信息,”— Invalid username or password —”为认证失败反馈信息,if语句中,USER和PASSWORD为用户名和密码,可按需修改。

然后,把这个页面保存为index.php,放入wp-admin文件夹中。

再把

include中的./index2.php替换为./wp-login2.php

另存为文件为wp-login.php,放入网站根目录下,当访客进入后台时,即有如下图状态:

image

 

输入用户名密码后即登入Web验证页面,从一方面提高了Wordpress的安全性,当然,如果服务器中有其他不安全因素,这种验证也是徒劳的~

image

有一款插件叫Login LockDown,能限制在Web验证中,输入一定次数错误密码就封禁IP一段时间的,也可以提高安全性~

标签: ,

19 条评论 于 “利用HTTP状态对WP后台做双重验证”

  1. 2011年11月11日22:12
    1

    这个不错,不过有点。。。。

  2. 2011年11月11日22:17
    2

    我以前直接拿这wp-login.php改,结果发现登录不了了。

    这个方法好啊。。。我试试

    • 灵曦
      2011年11月11日22:18
      3

      里面有涉及到PHP和HTML两种语句的处理所以很麻烦~为了偷懒直接include了~

  3. 2011年11月11日23:05
    4

    文章最后的那个插件倒是安装过了呢…
    两步验证的确要安全多了呢~

    话说灵曦酱也有好久没更新了呢~

    • 灵曦
      2011年11月11日23:16
      5

      是的呢,发现人变懒了…最近一直重复着同样的生活,写琐事又无趣,技术上又难得有突破…于是一直纠结啦~

      • 2011年11月11日23:46
        6

        嘛,偶是技术小小,写不出太多技术文呢,于是只好写琐事了…
        然后最近也开始发懒了…

  4. 2011年11月13日13:16
    7

    喵呜~
    话说一直都觉得各种各样的输密码好讨厌,咱可是出门连门都懒得锁骑车连单车都懒得锁的懒人orz

  5. 2011年11月14日10:24
    8

    看来你对计算机很感兴趣,不过还是建议你,把学习技术的时间稍微缩短,先好好的备考。
    你这么小能把计算机学好我就相信你能把学业做的更好!
    对不对?

  6. 2011年11月14日13:14
    11

    以前在这个地方弄过验证码……不过后来放弃了,反正WP窟窿又不是一点点,这么一想于是淡定了…

  7. 2011年11月16日17:26
    12

    呃。。。这个还是研究技术的关注,一般人也用不着这玩意吧,嫌麻烦

    • 灵曦
      2011年11月16日21:45
      13

      不麻烦啦,多一次认证而已,而且这个是可以保存密码的。对破解的人来说就会麻烦不少了估计

  8. 2011年11月20日14:13
    14

    恩,感谢Zmsky的技术辅助~~

  9. 2011年11月21日09:05
    15

    你也在学php啊

  10. 2011年11月21日09:45
    16

    验证用户名和密码的地方少了一个&吧

  11. 2011年12月1日00:28
    17

    表示我那个小博加不加双重验证也无所谓了 /hz

  12. 2012年3月16日16:20
    18

    不错,有空可以试试!

  13. 2012年7月12日16:15
    19

    我喜欢直接在nginx上设置- –

灵曦:请留下点什么嗯~