在中处理登录凭据wp_signon(), 如果它们有效wp_set_auth_cookie() 将在HTTP响应正文中发送cookie。
该cookie的名称在名为SECURE_AUTH_COOKIE 或AUTH_COOKIE. 两个名称都以开头wordpress_.
但他们不必这么做。您可以在wp-config.php 并添加一层模糊性,因此攻击者无法确定它是否是常规cookie。
您可以在动作中添加另一层:挂钩\'wp_login_failed\' 并发送一个以wordpress_. 你可以说出它的名字wordpress_logged_in 例如它没有任何作用,也不会让你的博客变得可衡量、更安全,但它不会伤害你。
另一方面,WordPress将发送location 标头并在登录到另一个页面后重定向用户。这很容易发现,也很难规避。
我现在在许多站点上使用的另一个检查方法是:在每个JavaScript的登录表单中添加一个新的复选框,每个站点都有一个唯一的名称,并要求对其进行检查。如果未选中,即使密码正确,响应也将始终为空白页。您可以从GitHub获得:T5 Unique Log-in Field.
