WordPress作为当前最流行的开源cms系统，是很多独立站、新闻博客的建站首选，曾经也誉为最安全的cms系统。

但是后台暴露最怕的就是字典爆破。

很多站长可能认为，只要设置了复杂的密码就万事大吉，但现实远比想象的残酷。黑客通常并不需要知道你的密码，他们使用自动化脚本，日夜不停地对着默认的后台路径进行字典爆破。

仅 2025 年上半年，WordPress 生态系统中就被发现了 6,700 个新漏洞，其中 41% 可被用于实际攻击。更有零日漏洞让黑客在短短数小时内发起了超过 13 万次攻击尝试。2025 年底爆发的 Post SMTP 插件身份验证漏洞影响了全球超过 40 万个站点，黑客借此漏洞可轻松接管管理员账户。而这些还只是冰山一角——2026 年初，一场精心策划的供应链攻击更令人警醒：攻击者收购了 30 余款 WordPress 插件，暗中植入后门代码，潜伏整整八个月后才激活，让超过两万个活跃站点不知不觉沦为 SEO 垃圾链接的跳板。

面对这些触目惊心的数据，隐藏后台登录地址，就成了许多站长提升安全性的第一步。

下面推荐几种方法解决这个困扰。

对于大多数普通站长来说，使用专用插件是最推荐的方式。

方法1：WPS Hide Login —— 社区首选，轻量简单

目前使用最广泛、口碑最好的免费后台隐藏插件。

使用方法也是比较简单，安装后启用，基本不需要配置。

方法2：修改 functions.php 文件（轻量级）

这种方法通过在主题的 functions.php 文件中添加代码钩子来实现登录地址的“加密”。原理是要求访问者在访问 wp-login.php 时必须带上一个特定的参数，就像接头暗号一样，否则就跳转到其他页面。

// WordPress 隐藏加密 wp-login 后台登录地址
add_action('login_enqueue_scripts', 'tb_wp_login_protection');
function tb_wp_login_protection(){
    // 检查 URL 中是否包含名为 'wpexp' 的参数
    if( !isset($_GET['wpexp']) ){ 
        header( 'Location: ' . home_url() ); // 如果没有，则重定向到首页
        exit; 
    }
}

将以上代码添加到当前主题（注意：必须是子主题）的 functions.php 文件末尾。生效后，你的登录地址会变成 你的域名/wp-login.php?wpexp。只有带上 ?wpexp 这个“暗号”才能访问登录页面，否则会直接跳转回网站首页。

说来说去，其实给 WordPress 后台换个地址这事儿，就跟家里别把钥匙明晃晃挂在门锁上是一个道理。它肯定挡不住铁了心要撬锁的专业小偷，但至少能让那些溜门撬锁随手一拧的家伙知难而退。