最近用了D8主題也是出現(xiàn)了一些小問(wèn)題，大部分都解決了。

不過(guò)前兩天的時(shí)候，群里的朋友用網(wǎng)站漏洞檢測(cè)工具查了一下，說(shuō)網(wǎng)站有XSS跨站漏洞！

我也是趕緊查了一下，修復(fù)了XSS和后臺(tái)登錄地址暴露問(wèn)題。

其實(shí)后臺(tái)用的還是挺多的，一開始首頁(yè)就有登錄地址，不過(guò)前段時(shí)間有窮列舉給破解了一些Wordpress博客，所以就有了這篇文章。

正文登場(chǎng)：

兩個(gè)修改、http:///wp-login.php和http:///wp-admin/

要把wp-login.php修改掉，wp-admin還讓他跳轉(zhuǎn)到wp-login.php，因?yàn)橐哺牡舻脑捄蜎](méi)改一樣了就。

需要SearchMyFiles，或者你喜歡的文件搜索工具。

選擇wordpress目錄，搜索wp-login.php，如下圖

將根目錄下wp-login.php文件改名，如wp-denglu.php。

其他的文件用文本編輯器（如DW、ST2、N++、記事本）打開，搜索

wp-login.php

改為（上面你改的名字）

wp-denglu.php

readme.html、zh-CN.po、zh-CN.mo這三個(gè)不用改（po可以用Poedit修改，自動(dòng)生成mo文件，這是多國(guó)語(yǔ)言文件包）

這里就會(huì)有問(wèn)題了，域名后輸入wp-admin可以跳轉(zhuǎn)到登錄頁(yè)，所以下面的文件的固定行不能改：

wp-includes\canonical.php:531，這里的wp-login.php不用改

wp_redirect( site_url( 'wp-login.php', 'login' ) );

wp-includes\functions.php:3233，這里的wp-login.php不用改

$url = preg_replace( '#/(wp-admin/.*|wp-login.php)#i', '', $schema . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'] );

wp-includes\general-template.php:264，這里的wp-login.php不用改

$login_url = site_url('wp-login.php', 'login');

到此修改完了，但是不要在你的首頁(yè)放功能小工具哦，或者其他的顯示登錄地址的主題你也要搜索改下。

因?yàn)橹黝}不同，這里不再贅述。