除了定期更新, WordPress 還有兩個「低成本高收益」的安全設置:禁用後臺文件編輯以及隱藏後臺登錄地址。這兩個操作能直接切斷黑客最常用的入侵路徑(如通過漏洞修改核心文件、暴力破解登錄密碼),且設置簡單,新手也能輕鬆完成。本節將詳細講解具體步驟和原理。
一、爲什麼要做這兩個設置?
黑客攻擊 WordPress 網站的常見手段中,有兩種最爲普遍:
- 通過後臺編輯文件植入惡意代碼WordPress 默認允許管理員在後臺直接編輯主題和插件的代碼(「外觀→主題編輯器」「插件→插件編輯器」)。一旦黑客通過漏洞獲取管理員權限,就能通過這個功能修改核心文件,植入病毒、後門或篡改內容。
- 暴力破解登錄地址WordPress 默認登錄地址是
域名/wp-admin或者域名/wp-login.php(全網統一),黑客會用程序批量掃描這個地址,嘗試用常見用戶名(如admin)和弱密碼登錄,一旦成功就能控制網站。
二、設置 1:禁用後臺文件編輯(5 分鐘搞定)
禁用文件編輯後,後臺的「主題編輯器」和「插件編輯器」入口會消失,從根源上防止黑客(或誤操作的管理員)修改代碼。
步驟 1:找到並編輯 wp-config.php 文件
wp-config.php 是 WordPress 的核心配置文件,存放着數據庫信息等關鍵設置,修改它需要通過服務器文件管理工具操作:
- 登錄服務器控制面板(如寶塔面板),找到你的網站根目錄(通常是
wwwroot/你的域名/)。 - 在根目錄中找到
wp-config.php文件,右鍵選擇「編輯」(若用 FTP 工具,可下載到本地用記事本編輯後再上傳)。
步驟 2:添加禁用代碼
于 wp-config.php 文件中,找到「/* 好了,就這樣,停止編輯吧!祝使用愉快!*/」這行代碼,在它上方粘貼以下代碼:
// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true); 步驟 3:保存並驗證效果
- 保存文件並關閉編輯器。
- 回到 WordPress 後臺,刷新頁面後:
- 進入「外觀」菜單,「主題編輯器」選項已消失。
- 進入「插件」菜單,「插件編輯器」選項已消失。
三、設置 2:隱藏後臺登錄地址(用插件更簡單)
隱藏登錄地址不是刪除默認地址,而是新增一個自定義登錄入口(如 域名/my-login),同時屏蔽默認的 wp-admin 登錄頁面(訪問時會跳轉 404 錯誤),讓黑客找不到登錄入口。
推薦插件:WPS Hide Login(免費、輕量)

- 安裝插件:進入後臺「插件→安裝插件」,搜索「WPS Hide Login」,點擊「安裝」並「激活」。
- 設置自定義登錄地址:激活後,進入「設置→WPS Hide Login」頁面,在「登錄 URL」輸入框中,填寫你想設置的自定義路徑(建議簡單好記,如
myadmin「login2023」)。- 示例:輸入
dashboard,則新登錄地址爲域名/dashboard。「重定向 URL」保持默認即可(黑客訪問舊地址時會跳轉到 404 頁面)。
- 示例:輸入
- 保存並牢記新地址:點擊「保存更改」,系統會自動生效。務必立即記下新登錄地址(建議保存到記事本或手機備忘錄),避免忘記後無法登錄。
驗證隱藏效果

- 用新地址(如
域名/dashboard)測試登錄,確認能正常進入後臺。 - 訪問默認地址
域名/wp-admin或者域名/wp-login.php,應顯示 404 錯誤或跳轉至首頁,說明隱藏成功。
四、關鍵注意事項(避免操作失誤)
關於禁用文件編輯:
- 不影響正常使用:禁用後仍可通過 FTP 或服務器面板編輯文件(僅關閉後臺可視化編輯),對普通用戶無影響。
- 需編輯代碼時怎麼辦?:若後續需要修改主題 / 插件代碼,可暫時刪除
wp-config.php中添加的禁用代碼,編輯完成後重新添加即可。 - 新手慎手動改代碼:即使未禁用編輯,也不建議新手在後臺修改代碼(可能導致網站崩潰)。
關於隱藏登錄地址:
- 別忘新地址:這是最常見的問題!若忘記自定義登錄地址,需通過服務器文件管理工具刪除
wp-content/plugins/wps-hide-login文件夾(插件被刪除後,默認登錄地址恢復生效)。 - 不要頻繁更換:頻繁修改登錄地址可能導致自己記混,建議設置後長期使用。
- 配合強密碼更安全:隱藏地址只是增加黑客的難度,仍需確保管理員密碼足夠複雜(參考 11.2 節)。
五、常见问题的解决方法
1. 禁用編輯後想恢復怎麼辦?
- 重新編輯
wp-config.php文件,刪除添加的define('DISALLOW_FILE_EDIT', true);代碼,保存後後臺編輯器會恢復。
2. 隱藏登錄地址後,手機或插件無法登錄?
- 部分移動端管理插件(如 WordPress 官方 app)可能依賴默認登錄地址,可在 WPS Hide Login 設置中勾選「允許 REST API 訪問」(通常在插件設置底部)。
3. 黑客仍能找到新登錄地址?
- 避免在公開場合泄露登錄地址(如不要在文章中提到
域名/dashboard)。 - 可定期更換自定義路徑(通過插件設置頁修改即可),進一步降低被發現的概率。
总结一下
禁用文件編輯和隱藏登錄地址是「花小錢辦大事」的安全措施 —— 幾乎不影響正常使用,卻能有效阻擋大多數初級黑客攻擊。記住:禁用編輯靠修改 wp-config.php,隱藏地址用 WPS Hide Login 插件,操作後務必驗證效果並做好記錄。
這兩個設置配合定期更新和強密碼,能爲你的網站構建起基礎的安全防護網。