Abb. Anfang/Dokument/WordPress/Sicherheit und Wartung der Website/Sicherheit der Website/Inhalt Details

WordPress-Backend-Dateibearbeitung deaktivieren und Backend-Login-Adresse ausblenden

2 Minuten lesen
Jiangsu
2025-10-21
6,821
Ich bekomme eine Provision, wenn du über die untenstehenden Links einkaufst – ohne zusätzliche Kosten für dich.

Neben regelmäßigen Aktualisierungen verfügt WordPress über zwei "kostengünstige, hochwirksame" Sicherheitseinstellungen:Deaktivieren der Dateibearbeitung im HintergrundundBackstage-Anmeldeadresse ausblenden. Diese beiden Operationen können die am häufigsten genutzten Eindringpfade des Hackers (wie die Änderung von Kerndateien durch Schlupflöcher und das gewaltsame Brechen von Anmeldekennwörtern) direkt abschneiden, und die Einrichtung ist so einfach, dass sie auch von Anfängern leicht durchgeführt werden kann. In diesem Abschnitt werden die einzelnen Schritte und Prinzipien im Detail erläutert.

I. Warum diese beiden Einstellungen?

Zwei der gängigsten Methoden zum Hacken von WordPress-Websites sind am weitesten verbreitet:

  1. Einschleusen von bösartigem Code durch Bearbeiten von Dateien im HintergrundWordPress erlaubt es Administratoren standardmäßig, den Code von Themes und Plugins direkt im Hintergrund zu bearbeiten ("Erscheinungsbild → Theme-Editor" "Plugins → Plugin-Editor"). Sobald ein Hacker durch ein Schlupfloch Administratorrechte erlangt hat, kann er über diese Funktion die Kerndateien verändern, Viren und Backdoors einschleusen oder Inhalte manipulieren.
  2. Brute-Force-AnmeldungDer Standard-WordPress-Login lautet 域名/wp-admin oder 域名/wp-login.php(einheitlich im gesamten Netzwerk), wird der Hacker ein Programm verwenden, um diese Adresse massenhaft zu scannen und versuchen, gängige Benutzernamen (wie admin) und schwache Passwort-Logins, um die Website zu kontrollieren, sobald sie erfolgreich ist.

Setup 1: Deaktivieren der Dateibearbeitung im Hintergrund (5 Minuten)

Nach der Deaktivierung der Dateibearbeitung verschwinden die Eingänge "Theme-Editor" und "Plugin-Editor" im Backend, wodurch Hacker (oder fehlgeleitete Administratoren) daran gehindert werden, den Code vom Stammverzeichnis aus zu ändern.

Schritt 1: Lokalisieren und bearbeiten wp-config.php Papiere

wp-config.php Sie ist die Hauptkonfigurationsdatei von WordPress, in der die Datenbankinformationen und andere wichtige Einstellungen gespeichert sind, und ihre Änderung muss über das Server-Dateiverwaltungstool erfolgen:

  1. Loggen Sie sich in Ihr Server-Kontrollpanel ein (z. B. Pagoda Panel) und suchen Sie das Stammverzeichnis Ihrer Website (normalerweise das wwwroot/你的域名/)。
  2. Im Stammverzeichnis finden Sie die Datei wp-config.php Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie "Bearbeiten" (wenn Sie ein FTP-Tool verwenden, können Sie die Datei lokal herunterladen und vor dem Hochladen mit Notepad bearbeiten).

Schritt 2: Deaktivierungscode hinzufügen

„In“ wp-config.php In der Datei finden Sie "/* Okay, das war's, Schluss mit der Bearbeitung! Viel Spaß damit! */Die Codezeile "/*" darinüberFügen Sie den folgenden Code ein:

// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true);

Schritt 3: Speichern und Überprüfen der Ergebnisse

  1. Speichern Sie die Datei und schließen Sie den Editor.
  2. Zurück im WordPress-Backend, nachdem Sie die Seite aktualisiert haben:
    • Im Menü "Erscheinungsbild" ist die Option "Themeneditor" verschwunden.
    • Wenn Sie das Menü "Plugins" aufrufen, ist die Option "Plugin-Editor" verschwunden.
    Wenn Sie es immer noch sehen können, überprüfen Sie, ob der Code korrekt eingefügt wurde (beachten Sie, dass die Symbole englische halbe Ecken sind und dass die Position über der angegebenen Zeile liegt).

III. 2. einrichten: Anmeldeadresse im Hintergrund ausblenden (einfacher mit Plugin)

Das Ausblenden der Anmeldeadresse bedeutet nicht das Entfernen der Standardadresse, sondern das Hinzufügen eines neuen benutzerdefinierten Anmeldeportals (z. B. 域名/my-login), während die Standardeinstellung wp-admin Die Anmeldeseite (die beim Zugriff zu einem 404-Fehler zurückspringt), damit Hacker das Anmeldeportal nicht finden können.

Empfohlenes Plugin: WPS Hide Login (kostenlos, leichtgewichtig)

WordPress Backend Dateibearbeitung deaktivieren & Backend Login Adresse verstecken - LikaCloud
  1. Installation von Plug-InsGehen Sie zu "Add-ins→Install Add-ins" im Hintergrund, suchen Sie nach "WPS Hide Login", klicken Sie auf "Installieren" und "Aktivieren".
  2. Einrichten einer benutzerdefinierten AnmeldeadresseNach der Aktivierung gehen Sie auf die Seite "Einstellungen→WPS Hide Login", und geben Sie im Eingabefeld "Login URL" den gewünschten Pfad ein (wir empfehlen Ihnen, ihn einfach und einprägsam zu halten, z. B.). myadmin"login2023").
    • Beispiel: Eingabe dashboardDie neue Anmeldeadresse lautet 域名/dashboardDie "Redirect URL" kann als Standard belassen werden. Belassen Sie die "Redirect URL" als Standard (Hacker werden beim Zugriff auf die alte Adresse auf eine 404-Seite umgeleitet).
  3. Speichern und Merken der neuen AdresseKlicken Sie auf "Änderungen speichern" und das System wird automatisch wirksam.Notieren Sie sich sofort Ihre neue Anmeldeadresse(Es wird empfohlen, sie auf einem Notizblock oder einem Handy-Memo zu speichern), um zu vermeiden, dass Sie sie vergessen und sich nicht mehr anmelden können.

Versteckte Effekte überprüfen

WordPress Backend Dateibearbeitung deaktivieren & Backend Login Adresse verstecken - LikaCloud
  1. mit einer neuen Adresse (z. B. 域名/dashboard) Testen Sie die Anmeldung, um sicherzustellen, dass Sie ordnungsgemäß auf das Backend zugreifen können.
  2. Zugang zur Standardadresse 域名/wp-admin oder 域名/wp-login.phpWenn es versteckt ist, sollte es eine 404-Fehlermeldung anzeigen oder auf die Homepage springen, was bedeutet, dass es erfolgreich versteckt wurde.

IV. wichtige Überlegungen (Vermeidung von Bedienungsfehlern)

Über die Deaktivierung der Dateibearbeitung:

  • Beeinträchtigt den normalen Gebrauch nichtDateien können weiterhin über FTP oder das Server-Panel bearbeitet werden, wenn sie deaktiviert sind (nur die visuelle Bearbeitung im Hintergrund ist ausgeschaltet), ohne dass dies Auswirkungen auf normale Benutzer hat.
  • Was ist, wenn ich den Code bearbeiten muss?Wenn Sie den Code des Themes/Plugins später ändern müssen, können Sie ihn vorübergehend löschen. wp-config.php Der Deaktivierungscode wurde dem Code hinzugefügt, bearbeiten Sie ihn und fügen Sie ihn erneut ein.
  • Anfänger sollten vorsichtig sein und den Code manuell ändernAuch wenn die Bearbeitung nicht deaktiviert ist, ist es für Neulinge nicht empfehlenswert, den Code im Hintergrund zu ändern (dies kann zum Absturz der Website führen).

Über das Verbergen der Anmeldeadresse:

  • Vergessen Sie die neue Adresse nicht.Dies ist das häufigste Problem! Wenn Sie Ihre benutzerdefinierte Anmeldeadresse vergessen haben, müssen Sie sie mit dem Server-Dateiverwaltungstool löschen. wp-content/plugins/wps-hide-login (die Standard-Anmeldeadresse wird wiederhergestellt und tritt in Kraft, nachdem das Plugin entfernt wurde).
  • Wechseln Sie es nicht zu oftÄndern Sie die Anmeldeadresse häufig, kann dies zu einem Durcheinander im Speicher führen, daher wird empfohlen, sie für eine langfristige Nutzung einzurichten.
  • Mehr Sicherheit durch sichere PasswörterDas Verstecken der Adresse macht es für Hacker nur schwieriger, und Sie müssen immer noch sicherstellen, dass das Administrator-Passwort komplex genug ist (siehe Abschnitt 11.2).

V. Gemeinsame Problemlösung

1) Was ist, wenn ich die Bearbeitung wiederherstellen möchte, nachdem sie deaktiviert wurde?

  • neu bearbeiten wp-config.php Datei, entfernen Sie die hinzugefügte define('DISALLOW_FILE_EDIT', true); Der Code wird nach dem Speichern vom Backend-Editor wiederhergestellt.

2. ich mich von meinem Mobiltelefon oder Plugin nicht anmelden kann, nachdem ich meine Anmeldeadresse versteckt habe?

  • Einige Plugins für die mobile Verwaltung (z. B. die offizielle WordPress-App) verlassen sich möglicherweise auf eine Standard-Anmeldeadresse. Daher können Sie das Kästchen "REST-API-Zugriff zulassen" in den WPS-Hide-Login-Einstellungen aktivieren (in der Regel am Ende der Plugin-Einstellungen).

3. können Hacker die neue Anmeldeadresse trotzdem finden?

  • Vermeiden Sie es, Ihre Login-Adresse in der Öffentlichkeit preiszugeben (erwähnen Sie sie z. B. nicht in dem Artikel) 域名/dashboard)。
  • Die benutzerdefinierten Pfade können in regelmäßigen Abständen geändert werden (einfach über die Plugin-Einstellungen), um die Wahrscheinlichkeit einer Entdeckung weiter zu verringern.

kurz

Die Deaktivierung der Dateibearbeitung und das Verstecken der Anmeldeadresse sind Sicherheitsmaßnahmen, die für wenig Geld viel Gutes bewirken - sie beeinträchtigen die normale Nutzung kaum, sind aber wirksam bei der Abwehr der meisten rudimentären Hackerangriffe. Denken Sie daran: Das Deaktivieren der Bearbeitung beruht auf der Änderung von wp-config.phpWenn Sie die Adresse mit dem Plug-in WPS Hide Login verbergen möchten, sollten Sie die Wirkung überprüfen und nach dem Vorgang eine genaue Aufzeichnung erstellen.

Diese beiden Einstellungen können in Verbindung mit regelmäßigen Updates und sicheren Passwörtern ein grundlegendes Sicherheitsnetz für Ihre Website bilden.

Tags.