如何限制WordPress后台管理员密码错误登陆次数？

大家好，这节课和大家再分享一个WordPress 安全的知识点，还是关于管理员后台登陆的。

如果有人恶意登陆你的网站后台，比如它找到了网站后台登陆地址，试试你的网站管理员密码是不是admin，或者123456，或者8个8之类的，不断的尝试。WordPress系统默认对后台登陆是没有次数限制的。

我们用插件可以对这种操作进行限制和屏蔽。

修正 WordPress 密码设置链接错误方法

下面由WPMEE给大家介绍修正WordPress密码设置链接错误的方法，希望对需要的朋友有所帮助！

当用户注册或者忘记密码获取新密码时WordPress会自动向用户邮箱中发送一个验证链接地址，用户通过打开这个链接设置密码，不过经常发现这个链接直接打开后，并不是设置密码的正确链接。

这个问题的并不是WordPress的原因，正常WordPress设置密码的链接地址是没有超链接的，而是QQ邮箱自作聪明为个链接地址加上了超链接，并把本不是链接地址内容的<>符号也加了进去，结果造成链接错误，貌似只有大家常用的QQ邮箱有此问题。这是一个老生常谈问题，网上解决办法比比皆是，不过都是千篇一律，充分体现了天下文章一大抄。

下面是我的解决方法，以WordPress5.3.2为例：

一、最简单的方法

修改WordPress程序文件删除代码中的<>符号，

修正忘记密码获取新密码链接

打开WordPress程序根目录的wp-login.php文件，将大约417行的：

$message.=\'<\'.network_site_url(\"wp-login.php?action=rp&key=$key&login=\".rawurlencode($user_login),\'login\').\">\\r\\n\";

改为：

$message.=\'\'.network_site_url(\"wp-login.php?action=rp&key=$key&login=\".rawurlencode($user_login),\'login\').\"\\r\\n\";

只是把代码中前后<>符号去掉。

修正用户注册设置密码链接

打开WordPress程序wp-includes目录中的pluggable.php文件，将大约2003行的：

$message.=\'<\'.network_site_url(\"wp-login.php?action=rp&key=$key&login=\".rawurlencode($user->user_login),\'login\').\">\\r\\n\\r\\n\";

改为

$message.=\'\'.network_site_url(\"wp-login.php?action=rp&key=$key&login=\".rawurlencode($user->user_login),\'login\').\"\\r\\n\\r\\n\";

也是只需要把代码中前后<>符号去掉即可。

缺点：升级WordPress程序后，需要再次修改。

二、一劳永逸的方法

这也是本文的重点，也是应主题用户的要求，添加到目前主题中的方法，这里分享一下。

将下面代码添加到当前主题函数模板functions.php中即可。

//修正忘记密码获取新密码链接

add_filter(\'retrieve_password_message\',\'zm_reset_password_message_amend\',99,1);

functionzm_reset_password_message_amend($string){

returnpreg_replace(\'/<(\'.preg_quote(network_site_url(),\'/\').\'[^>]*)>/\',\'\\1\',$string);

}

//修正用户注册设置密码链接

add_filter(\'wp_new_user_notification_email\',\'zm_user_notification_email_amend\',10,3);

functionzm_user_notification_email_amend($wp_new_user_notification_email,$user,$user_email){

global$wpdb,$wp_hasher;

$key=wp_generate_password(20,false);

do_action(\'retrieve_password_key\',$user->user_login,$key);

if(empty($wp_hasher)){

require_onceABSPATH.WPINC.\'/class-phpass.php\';

$wp_hasher=newPasswordHash(8,true);

}

$hashed=time().\':\'.$wp_hasher->HashPassword($key);

$wpdb->update($wpdb->users,array(\'user_activation_key\'=>$hashed),array(\'user_login\'=>$user->user_login));

$switched_locale=switch_to_locale(get_user_locale($user));

$message=sprintf(__(\'Username:%s\'),$user->display_name).\"\\r\\n\\r\\n\";

$message.=__(\'Tosetyourpassword,visitthefollowingaddress:\').\"\\r\\n\\r\\n\";

$message.=\'\'.network_site_url(\"wp-login.php?action=rp&key=$key&login=\".rawurlencode($user->user_login),\'login\').\"\\r\\n\\r\\n\";

$wp_new_user_notification_email[\'message\']=$message;

return$wp_new_user_notification_email;

}

网上能找到修正重置密码链接的方法，不过代码略显拖沓，本文的方法只一句关键代码解决。

至于修正用户注册设置密码链接，经过重写邮件函数解决，貌似代码还有精简的余地，以后再研究了。

优点：一劳永逸，不会因为WordPress程序的频繁升级而再次修改。

以上就是如何修正WordPress密码设置链接错误的详细内容。