使用 ​​BasicAuth 认证叠加主题安全码保护WordPress 的 wp-login.php

保护wordpress的管理员登陆界面，是最重要的网站安全防御

近期有很多朋友的wordpress网站被挂马，或者被篡改跳转恶意网站向我们求助，我们在帮助他们进行检查时发现，大部分的用户是因为管理员密码设置过于简单，或者设置和网站域名、网站内容较为接近，并且登陆界面没有进行安全防御遭到了扫描并进行了密码破解，后台暴露导致的。

后台被破解导致的安全问题一直是我们对所有用户强调需要防护的关键，比如 90%的用户后台暴露的原因是设置了admin为管理员用户名，密码则是简单的，较短的密码。

还有的客户可能密码账户设置的较为复杂，但是登陆界面没有防护，导致登陆界面一直被扫描并且尝试登陆，这不仅不安全，也影响服务器的负载。

这里我们推荐使用 ​​BasicAuth 认证叠加主题安全码保护wordpress的登陆界面wp-login.php,可以有效的阻断机器人扫描、以及尝试登陆阻断。

宝塔linux面板轻松实现BasicAuth 认证保护wp-login.php

如果你使用的是宝塔linux面板，那么你可以非常轻松的实现BasicAuth认证

Basic Auth（基本认证）是一种基于 HTTP 协议的简单身份验证机制，通过用户名和密码验证用户身份。其核心原理是将用户名和密码拼接为 username:password格式后，进行 Base64 编码，并通过 HTTP 请求头的 Authorization字段传输给服务器。服务器解码后验证凭据，通过则返回资源，否则返回 401 Unauthorized状态码

简单来说，保护某一个文件或者URL，访问时会触发浏览器弹出一个用户和口令界面，需要填入正确的用户名和口令认证之后，才可以正常访问，否则返回401状态码，不消耗服务器资源，这样对于高频扫描机器人来说，会直接阻断他们的扫描。

设置方法，需要登陆到宝塔---进入网站----打开网站设置，找到访问限制（如下图，下图已经添加了一个，默认这里是空的）

设置添加密码访问，加密访问可以填写wordpress的默认登陆地址：/wp-login.php

名称则是任意填写，主要为了后续维护的识别，可以填写：保护网站登陆

用户名和密码则是验证的用户名和密码，填写后访问登陆界面提示填写的。

完成设置之后，访问登陆界面浏览器会自动提示填写账号密码：

如果不通过则是返回401状态。

需要注意的是，BasicAuth认证必须用https访问才可以，因此你需要在宝塔的ssl界面申请ssl证书，并且强制https访问，否则Base64 编码的凭据在非 HTTPS 环境下可被解码，​​明文密码可能被截获。

继续使用超级区块wordpress主题系列的主题提供的登陆安全码，双重拦截

超级区块wordpress主题系列都提供了后台安全码的功能，可以填写安全码进一步提升后台界面被扫描的几率,进入网站后台-主题选项，找到登陆安全选项：

填写安全码保存后，回到这个界面，下面会显示新的登陆带安全码的地址（如上图）。

安全码是双层防护：

1.设置好了之后，需要输入正确的带安全码的地址才会显示登陆界面，否则会跳转首页

2.将wordpress登陆的post请求必须携带安全码,如果机器人直接发送post请求给wp-login.php而没有携带正确的安全码，也是直接返回首页，从而避免了直接post跳过登陆界面的威胁。