如何正确更改 WordPress 登录 URL

如果您花了大量时间在 WordPress 平台上构建、创建和开发，您就会知道找到默认的 WordPress 登录名非常简单。

只需将“/wp-admin”附加到在 WordPress 上运行的任何网站的末尾，您就会进入内容管理系统的大门。

再加上弱密码，您刚刚为恶意攻击者创建了一个可以自由利用的游乐场。 根据安全专家 Sucuri 的说法，在他们检查的 14.5k 个站点中，2022 年第三季度的恶意软件注入中有 22.61% 是针对 WordPress 平台的大规模恶意软件活动。

虽然更改 WordPress 登录页面 URL 并非 100% 万无一失，但您可以采取额外的步骤来增加攻击者的难度。

在本文中，我们介绍了两种更改登录 URL 的常用方法以及帮助阻止攻击者的其他安全措施。 这些步骤适用于大多数共享或专用托管 WordPress 安装，但请注意与 EasyWP 管理的 WordPress 差异相关的特殊说明

使用 WPS 隐藏登录插件更改您的登录 URL

如果您不想修改核心 WordPress 文件，您会想先尝试这个选项。 在这两种方法中，这是迄今为止最快的实现方式。

与 WordPress 的许多自定义一样，有一个插件可以自定义您的登录 URL。 WPS Hide Login 插件的下载量超过 100 万次，拥有超过 1900 多个 5 星评级，因此您可以确信它会在未来几年内继续存在。

安装 WPS 隐藏登录插件

要开始，请前往官方 WPS 隐藏登录下载页面。 下载插件后，按照以下步骤安装并激活插件：

1. 在 WordPress 仪表板中，找到插件 > 添加新插件
2. 点击上传插件
3. 点击选择文件，选择登录插件
4. 单击立即安装按钮
5. 出现提示时，单击“激活插件”按钮

配置 WPS 隐藏登录插件

1. 接下来，导航到 WordPress 仪表板的“设置”>“常规”部分。 滚动到页面底部，直到看到名为“WPS 隐藏登录”的部分。
2. 这是您可以配置登录 URL 的步骤。 在您网站域右侧的文本字段中输入自定义 WordPress 登录 URL。 在此示例中，我们将自定义登录 URL 更新为：

 https://yourwebsite.name/your-new-login-name

3. 此步骤是可选的，但您也可以通过在重定向 URL 文本字段中指定 URL 来重定向试图访问默认 WordPress 登录的访问者。

单击“保存更改”以启用新的自定义登录 URL。

接下来，测试您的默认 WordPress 登录 URL 以确保它不可访问。 在浏览器中，输入您的默认登录 URL。 例如：

 yourwebsitename.com/wp-admin

如果您在上述配置步骤中添加了一个，则此测试 URL 应将您带到 404 页面或重定向 URL。

最后，测试您使用插件创建的新自定义 WordPress 登录 URL，以确保您可以访问新的登录 URL。

下一个方法不需要插件，但我们建议熟悉主机文件系统。

在没有插件的情况下更改您的登录 URL

如果您更喜欢使用更少的插件来保持 WordPress 网站的精简，这可能是适合您的方法。

在开始之前，我们强烈建议您备份现有网站。 编辑核心 WordPress 文件会很快使您的网站无法使用。 您要确保至少有一种备份形式。

完成此方法有四个主要步骤：

1. 下载 wp-login.php 文件的副本
2. 编辑重复的 wp-login.php 文件
3. 创建一个子主题
4. 将代码片段添加到子主题的 functions.php 文件中

了解 WordPress 文件系统

与基于 Windows 的文件夹结构类似，WordPress 有自己的文件夹和文件结构。 大多数网站现在都在使用共享或托管托管选项，因此，要修改这些文件，您通常需要登录到您的主机帐户。

根据您的主机，以下说明中的屏幕会有所不同，但大多数主要主机平台上的步骤都是相同的。

如果您在工作站上离线工作，则适用相同的步骤。 但是，您的文件将位于本地驱动器上，而不是主机云服务器上。

让我们开始。

1. 下载一份 wp-login.php 文件

wp-login.php 文件负责在访问者输入默认的 WordPress 登录 URL 时将他们引导至正确的登录页面。 建议在修改登录 URL 之前备份此副本。

使用传统的共享主机，导航到主机的文件管理器。 使用 EasyWP 托管主机，没有文件管理器。 但是，您仍然可以通过 SFTP 访问您网站的文件和文件夹。 每个主机都有自己独特的文件管理器查找方式。 要查找特定于您的主机的说明，您可以在谷歌上搜索“[您的主机名] 的文件管理器”。

找到文件管理器后，导航到 public_html 文件夹。

找到 wp-login.php 文件。 在本地下载该文件，以便您拥有它的副本。

您通常可以通过右键单击文件并选择“下载”选项或使用“文件管理器”屏幕顶部的菜单按钮来下载。

接下来，使用脱机副本，复制 wp-login.php 文件。 将原件存储在备份文件夹中。 我们将在下一节中修改这个复制版本。

2. 编辑重复的 wp-login.php 文件

在桌面上找到重复的 wp-login.php 文件，并在任何具有查找和替换功能的文本编辑器中打开它。

在文本编辑器中，找到 wp-login.php 并将所有实例替换为您要使用的新登录 URL。

例如，找到 wp-login.php 的所有实例并将其替换为 my-new-login.php，这将是您的新自定义 URL。

保存更改并重命名文件以匹配您的新 URL（例如，my-new-login.php）以便以后轻松识别它。 这一步不是它工作的必要条件，但建议这样做。

使用 EasyWP 托管 WordPress 时，重命名 wp-login.php 文件会稍微影响 EasyWP 仪表板功能和默认 WordPress 功能。 这些功能中断并不严重，但可能需要 WordPress 的高级知识才能解决。 如果您对 WordPress 中这些类型的高级更改比较陌生，请在开始重命名过程之前咨询我们的帮助中心或联系客户服务。

接下来，如果您使用的是共享主机或专用服务器，请导航回主机文件管理器并将此新文件上传到 public_html 文件夹。

此时，您应该将新的自定义文件和原始 wp-login.php 文件放在同一文件夹中。 您现在可以从文件管理器中删除 wp-login.php 文件，因为在上一步中创建了一个备份。

请记住，对于来自 EasyWP 的托管 WordPress，没有 public_html 文件夹。 通过 SFTP 连接时，您需要直接访问主文件夹，并在建立连接后立即看到 WordPress 文件夹和文件列表。

此文件夹中应只有您的自定义登录文件。 接下来，我们将创建一个子主题。

3.创建子主题

由于我们正在修改核心 WordPress 文件，因此当我们创建子主题时，它将在网站上保持启用的更改，以防您的 WordPress 版本更新。

如果您不创建子主题，您仍然可以手动更新登录 URL，但您必须在每次 WordPress 更新时重新执行这些步骤，这可能会很痛苦，因此我们建议使用子主题。

首先，检查您当前的主题是否已经有可用的子主题。 如果是，请在 WordPress 控制面板中将其激活并转到下面说明的第 4 步。

如果子主题不可用，那么我们建议从头开始创建一个子主题，或者您可以下载他们的示例并修改代码。

如果您从上面的链接下载了“Example Kadence Child Theme”选项，您应该有三个文件：

• 函数.php
• 截图.png
• 样式.css

接下来，我们需要将自定义代码添加到 functions.php 文件的子版本中，以便您可以注销并使用新的登录 URL 正确重置密码。

4. 在子主题的 functions.php 文件中添加一段代码

更改默认登录 URL 的问题之一是它会破坏丢失的密码和注销流程。 我们可以通过添加称为过滤器挂钩的自定义代码来解决此问题。

在您的桌面上，打开子主题文件夹并找到 functions.php 文件。

在文本编辑器中打开文件并添加以下代码。

 <?php /** * Enqueue child styles. */ function child_enqueue_styles() { wp_enqueue_style( 'child-theme', get_stylesheet_directory_uri() . '/style.css', array(), 100 ); } // add_action( 'wp_enqueue_scripts', 'child_enqueue_styles' ); // Remove the // from the beginning of this line if you want the child theme style.css file to load on the front end of your site. add_filter( 'logout_url', 'my_logout_page', 10, 2 ); function my_logout_page( $logout_url) { return home_url( '/my-new-login.php'); } add_filter( 'lostpassword_url', 'my_lost_password_page', 10, 2 ); function my_lost_password_page( $lostpassword_url ) { return home_url( '/my-new-login.php?action=lostpassword'); }

用您的特定自定义 URL 替换代码中显示“my-new-login”的行。 保存更改。

完成后，您的代码应类似于下图。 如果您有不同的子主题，您的 functions.php 文件可能有不同的行数，这是典型的。

接下来，返回到文件管理器，然后导航回 public_html > wp-content > themes > [your theme name]。

上传整个子主题文件夹。 如果你的主题已经有子主题，那么你只需要修改上面的代码，可以跳过这个上传步骤。

Themes 文件夹中现在应该有您的原始主题（例如，kadence）和子主题（kadence-child）文件夹。

接下来，转到您的新自定义登录 URL（例如，yourwebsite.com/my-new-login.php）并登录到您的 WordPress 仪表板。

导航到外观 > 主题

激活子主题。

最后，通过注销 WordPress 来测试 function.php 过滤器挂钩代码是否有效。 如果您被重定向到新的自定义 URL 登录页面而不是以下 URL，您就会知道这些步骤有效：

 yourwebsite.com/wp-admin yourwebsite.com/wp-login.php

您现在已经成功更新了您的自定义 WordPress 登录 URL。 在下一节中，我们将提供一些可操作的步骤来进一步保护您的 WordPress 网站。

保护您的 WordPress 网站

谈到安全性，它是关于在便利性和安心性之间建立平衡。 在锁定整个 WordPress 安装之前，请考虑保护数据的原因。

如果您的网站是个人爱好博客，您可以添加一个强密码，然后收工。 如果您的全部生计都在网站上，那么您将需要额外的安全层。

以下是您今天可以实施的三个可操作步骤，以提高您的 WordPress 安全性。

1.使用强登录凭据

这听起来很简单，但数量惊人的网站所有者仍在使用不安全的密码。 我们建议混合使用 14–16 个大小写字符（包括特殊字符）。

为了轻松找回密码，请尝试使用密码管理器来整理密码。

确保还定期更改关键密码，以防您的凭据成为被破坏的服务成功泄露数据的一部分。

2. 使 WordPress 安装、插件和主题保持最新

开发人员总是在修复他们软件中的漏洞。 请务必在 WordPress 控制面板的主题、插件和外观菜单项中定期应用这些更新。

如果您怀疑某个插件在更新后会破坏用户体验，请在更新前备份您的网站。 更新后快速检查以确保一切看起来正确。

知道有备份可用，您会高枕无忧。

3.申请你主机的SSL证书

像 EasyWP 这样的平台让安全入门变得容易。 默认情况下，免费子域已安装 SSL 证书。

如果您托管在其他平台上，请查看他们的知识库文章或客户服务以查找有关如何启用 SSL 证书的说明。

我们的 EasyWP Turbo 和 Supersonic 软件包包括用于自定义域的免费 SSL 证书。 这些免费证书必须手动激活。 激活非常简单，因此请查看我们关于如何激活 Turbo 和 Supersonic 提供的免费 SSL 证书的说明。

这个简单的步骤将显示网站身份的身份验证证明并提供加密连接。 如果您要求客户输入信用卡信息等敏感数据，这一点尤为重要。

将 WordPress 和站点地址 URL 更新为 HTTPS 版本。 即使您启用了 SSL 证书，一些主机也会将这两个设置默认为 HTTP 版本。

经常问的问题

如果我在创建自定义登录 URL 后更改主题会怎样？

如果您使用插件方法，更改主题不应与自定义登录 URL 冲突。

如果您通过代码手动更改了自定义登录 URL，则必须使用新主题再次更新 functions.php 文件。

只需确保创建一个新的子主题并将其上传到上面第 3 步中概述的文件管理器。

如果我在更新代码时遇到错误信息怎么办？

如果您遇到错误消息且无法调试，我们建议您删除子主题和您创建的自定义登录 URL 文件。 然后上传备份文件，再试一次。

如果您在本地工作站上进行开发，那么当您的备份副本不可用或损坏时，最新版本的 WordPress 和过去版本的 WordPress 会很有用。

对于 EasyWP 等托管托管选项，我们建议联系客户支持，因为他们可以进一步帮助您。

作为替代方案，您也可以考虑使用本文详述的插件方法。

我的网站无法访问了，我该怎么办？

如果您的网站不再运行，我们建议您删除您创建的子主题和自定义登录 URL 文件并上传备份版本以重试。

如果这不起作用，请查找并恢复整个网站的备份。 如果您忘记备份，大多数托管服务也会备份您的网站。

贡献者：林大卫

David Lin 是一位经验丰富的增长营销人员和项目经理。 在 hellodavelin.com 上开始他的博客之前，他曾在 EA、Activation 和 Microsoft 制作过 AAA 级游戏。 他目前为 SaaS 品牌提供 SEO 咨询。