我们泪雪旗下的网站基本都是接入泪雪用户中心统一管理的帐号，能够实现统一的注册和登录，当然了解子凡我习惯的都知道我们泪雪下面的网站基本都是基于 WordPress 构建，当然也有遇到一些攻击和扫描，不论是研究还是恶意行为，作为站方有则有必要不断的提升提高安全性能。

就在前些天，有人利用 WordPress 的登录页面 wp-login.php 直接尝试以找回密码，并且意图直接通过 wp-login.php 页面绕过我们统一的用户接口登录网站后台，所以子凡也研究了一番，虽然我们在之前的开发时对登录地址做了跳转，但是由于 WordPress 的 wp-login.php 页面属于静态页面也是可以直接访问的，所以之前的跳转并不完善，那么今天就把相关的代码片段分享一下，可以帮助到一些利用 WordPress 开发的站群，或者是重置了 WordPress 登录页面，或者新开发有 WordPress 登录页面及功能的网站，以此来达到禁止 wp-login.php 页面的效果，从而提升 WordPress 登录及注册的安全性。

1
2
3
4
5
6
7
8
9
10
11
12
13

// wp-login.php 页面设置为 404 错误
add_action('init','fanly_custom_login');
function fanly_custom_login(){
	global $pagenow;
	if( 'wp-login.php' == $pagenow ) {
		global $wp_query;
		$wp_query->set_404();
		status_header(404);
		nocache_headers();
		include( get_query_template( '404' ) );//调用当前主题 404.php 模板页面
		die();
	}
}

代码很简单，放置到你网站当前主题 functions.php 文件中即可，代码是利用判断当前页面是否为 wp-login.php 来进行判断，如果是 wp-login.php 页面，则将 HTTP 状态码设置为 404，然后在载入 WordPress 主题的 404 页面，以上代码需要当前主题目录有 404.php 模板页面，当然也可以根据自己需求修改。

那么如果不载入 404 页面，还可以设置跳转，代码如下：

1
2
3
4
5
6
7
8
9

// wp-login.php 页面跳转到首页
add_action('init','fanly_custom_login');
function fanly_custom_login(){
	global $pagenow;
	if( 'wp-login.php' == $pagenow ) {
		wp_redirect(home_url());//跳转到首页
		die();
	}
}

以上两段代码功能不一样，不能共同使用，根据自己需要选择其中之一使用就行啦。