這幾天為提升 WordPress 站台安全性，安裝了 WordPress 防火牆及防毒外掛 Wordfence，安裝之後才發現原來我的網站後台登入網址一直被暴力登入攻擊。

此為 Wordfence 即時安全監控畫面，記錄顯示我的後台登入網址 wp-login.php 及 xmlrpc.php 一直被駭客暴力登入。

關於如何解決 xmlrpc.php 的登入攻擊，可參考我另一篇文章: WordPress 如何關閉 XML-RPC 服務，避免資安攻擊風險

看到此問題，我立馬做了登入 Google Authenticator 2FA 雙因素驗證及 Google reCAPTCHA 識別機器人驗證來加強登入安全性，設定完之後，已經可以確保不會被登入成功，但是 Wordfence 即時安全監控畫面還是一直出現暴力登入記錄，因為駭客還是會到登入頁面繼續暴力登入，雖然不會成功，但一直會產生登入失敗記錄。
連續的暴力登入會造成伺服器資源浪費在這種地方，所以我覺得比較好的方法還是把登入網址隱藏起來。

WPS Hide Login 介紹

WPS Hide Login 是一款隱藏 WordPress 預設登入網址的外掛。
WordPress 後台預設登入網址為
http(s)://您的網址/wp-login.php
http(s)://您的網址/wp-admin.php

安裝之後會停用 wp-login 及 wp-admin 頁面，並自定新的入口網址，例如 my-login123 (請自行命名)為代理入口網址，駭客因不知道新登入網址，則無法執行暴力登入攻擊。
如要回復原有登入網址，只要停用此外掛之後則會恢復原本 wp-login.php 登入頁面。

WPS Hide Login 外掛安裝

外掛名稱: WPS Hide Login
官網連結: https://tw.wordpress.org/plugins/wps-hide-login/
在後台「安裝外掛」輸入「WPS Hide Login」，並執行安裝、啟用。

安裝之後，在「設定 > WPS Hide Login」開始設定界面。

外掛設定

此外掛設定很簡單，直接輸入新的登入網址，例如「my-login123」(請自行命名)，為新的入口網址。

新網址命名請避免常見的名稱，例如: login, admin，因為容易被猜到而繼續攻擊。

另一組設定 Redirection url 為如果使用舊網址 wp-login.php 的話，會轉址到何處，預設是 404 的網址，你也可以自行設定要轉址的頁面。
註: 404 通常指找不到頁面的網址。

設定完之後就是「儲存設定」就完成了。
建議把新的登入網址記錄在「書籤」或「我的最愛」裡面，以免下次忘記了。

如果不小心忘記登入網址怎麼辦？

有 2 種方式可以解決：

1. 連線到 MySQL 資料庫找到 wp_options table，查詢「option_name = ‘whl_page’」
   或是 SQL 語法
   「SELECT * FROM wp_options where option_name='whl_page';」

2. 從 wordpress 原始碼目錄下 \wp-content\plugins 資料夾中刪除 wps-hide-login 目錄，就可以從 wp-login.php 重新登入。

相關學習文章

WordPress 如何關閉 XML-RPC 服務，避免資安攻擊風險
WordPress 強制使用 https 連線 (使用 SSL 憑證)
如何在 WordPress 設定 Google reCAPTCHA 保護(登入、留言、聯絡)表單，免遭惡意攻擊