禁用WordPress后台文件编辑与隐藏后台登录地址：安全设置指南

禁用WordPress后台文件编辑与隐藏后台登录地址

2025-10-21

2分钟阅读

1,794

除了定期更新， WordPress 还有两个「低成本高收益」的安全设置：禁用后台文件编辑和隐藏后台登录地址。这两个操作能直接切断黑客最常用的入侵路径（如通过漏洞修改核心文件、暴力破解登录密码），且设置简单，新手也能轻松完成。本节将详细讲解具体步骤和原理。

一、为什么要做这两个设置？

黑客攻击 WordPress 网站的常见手段中，有两种最为普遍：

通过后台编辑文件植入恶意代码WordPress 默认允许管理员在后台直接编辑主题和插件的代码（「外观→主题编辑器」「插件→插件编辑器」）。一旦黑客通过漏洞获取管理员权限，就能通过这个功能修改核心文件，植入病毒、后门或篡改内容。
暴力破解登录地址WordPress 默认登录地址是 域名/wp-admin 或 域名/wp-login.php（全网统一），黑客会用程序批量扫描这个地址，尝试用常见用户名（如 admin）和弱密码登录，一旦成功就能控制网站。

禁用文件编辑后，后台的「主题编辑器」和「插件编辑器」入口会消失，从根源上防止黑客（或误操作的管理员）修改代码。

wp-config.php 是 WordPress 的核心配置文件，存放着数据库信息等关键设置，修改它需要通过服务器文件管理工具操作：

在 wp-config.php 文件中，找到「/* 好了，就这样，停止编辑吧！祝使用愉快！*/」这行代码，在它上方粘贴以下代码：

// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true);

保存文件并关闭编辑器。
回到 WordPress 后台，刷新页面后：
- 进入「外观」菜单，「主题编辑器」选项已消失。
- 进入「插件」菜单，「插件编辑器」选项已消失。
若仍能看到，检查代码是否粘贴正确（注意符号为英文半角，位置是否在指定行上方）。

隐藏登录地址不是删除默认地址，而是新增一个自定义登录入口（如 域名/my-login），同时屏蔽默认的 wp-admin 登录页面（访问时会跳转 404 错误），让黑客找不到登录入口。

安装插件：进入后台「插件→安装插件」，搜索「WPS Hide Login」，点击「安装」并「激活」。
设置自定义登录地址：激活后，进入「设置→WPS Hide Login」页面，在「登录 URL」输入框中，填写你想设置的自定义路径（建议简单好记，如 myadmin「login2023」）。
- 示例：输入 dashboard，则新登录地址为 域名/dashboard。「重定向 URL」保持默认即可（黑客访问旧地址时会跳转到 404 页面）。
保存并牢记新地址：点击「保存更改」，系统会自动生效。务必立即记下新登录地址（建议保存到记事本或手机备忘录），避免忘记后无法登录。

别忘新地址：这是最常见的问题！若忘记自定义登录地址，需通过服务器文件管理工具删除 wp-content/plugins/wps-hide-login 文件夹（插件被删除后，默认登录地址恢复生效）。
不要频繁更换：频繁修改登录地址可能导致自己记混，建议设置后长期使用。
配合强密码更安全：隐藏地址只是增加黑客的难度，仍需确保管理员密码足够复杂（参考 11.2 节）。

重新编辑 wp-config.php 文件，删除添加的 define('DISALLOW_FILE_EDIT', true); 代码，保存后后台编辑器会恢复。

部分移动端管理插件（如 WordPress 官方 app）可能依赖默认登录地址，可在 WPS Hide Login 设置中勾选「允许 REST API 访问」（通常在插件设置底部）。

禁用文件编辑和隐藏登录地址是「花小钱办大事」的安全措施 —— 几乎不影响正常使用，却能有效阻挡大多数初级黑客攻击。记住：禁用编辑靠修改 wp-config.php，隐藏地址用 WPS Hide Login 插件，操作后务必验证效果并做好记录。

这两个设置配合定期更新和强密码，能为你的网站构建起基础的安全防护网。