你的 WordPress 網站,預設登入網址永遠是 /wp-admin 或 /wp-login.php——這就像在牆上貼著「後門在這兒」的標籤。駭客掃過你的站時,第一步就是往這個地址試暴力破解;訪客遇到暴露的後台登入頁,也不免有點懷疑你的專業度。說白了,自訂登入頁面兼顧安全與品牌,不是多餘步驟,是維護長期營運的基本配置。
為什麼要自訂登入頁面
預設登入頁存在三個實際問題。
首先是暴露度。任何人看到 /wp-admin 的登入頁,立刻知道這個站跑 WordPress。駭客的掃描工具會自動針對既知位置發起暴力破解,費力改密碼、啟用兩階段驗證,卻疏於改登入網址,等於只防了一半。把登入網址改到無人知道的地方——比如 /mycompany-secret-portal/——就能直接擋掉 80% 自動化攻擊。
其次是品牌一致性。客戶登入你的網站,看到原生 WordPress 的藍白登入頁,再看看你的企業站主色是深灰+金色,這種視覺落差會削弱信任感。加上公司 Logo、調整配色、加入自訂訊息,登入體驗就和整個品牌調性一致。
再來是流程控制。預設登入頁沒有額外資訊或指引,訪客找不到密碼重設連結、聯絡客服或回首頁的快速路徑。自訂登入頁可以加入「忘記密碼?」的醒目提示、公司聯絡方式,甚至返回主頁的按鈕,讓登入流程更友善。
這些改動都可以透過外掛快速達成,不需要手寫程式碼。
用 WPS Hide Login 隱藏與變更登入網址
WPS Hide Login 是最直接的解決方案——它不改登入功能,只是把登入頁搬到你指定的網址。安裝並啟用後,進到設定 > WPS Hide Login,你會看到一個欄位問「登入頁應該在哪個網址?」預設值是 login,意思是 yoursite.com/login 會進登入頁,而原本的 /wp-admin 與 /wp-login.php 全部失效。
設定很簡單。修改欄位、儲存,之後測試一下新網址有沒有生效——通常立刻見效。如果想更隱蔽,可以改成 admin-panel-xyz 之類無規律的字串,駭客掃描工具更難猜到。
設定完成後,外掛會自動在 WordPress 後台登出時轉導到新網址,避免使用者不知道自己被登出了。你也可以設定一個自訂的登出後導回頁面,引導訪客回首頁或內容頁。
注意:更改登入網址後,如果你用了自動化工具(比如 WP-CLI 的某些命令、或自動備份指令碼)針對舊登入路徑,記得一併更新,不然會失效。
用外掛美化登入頁樣式與品牌元素
光改網址還不夠;多數站長希望登入頁看起來像自己的網站。這時候 Colorlib Login Customizer 或 Theme My Login 可以派上用場。
Colorlib Login Customizer 提供視覺化編輯器。啟用後,到外掛設定,你會看到即時預覽模式,可以直接在頁面上拖拽調整按鈕、欄位、背景。上傳 Logo、選色系、換字體,幾分鐘內就能組出一個看起來專業的登入頁。這個外掛的免費版涵蓋基本需求(背景圖、Logo、按鈕顏色),進階功能(如自訂 CSS、水印)需付費版。
Theme My Login 的思路不同——它不提供拖拽介面,但給予更細緻的 HTML/CSS 控制。適合懂點程式碼的站長,或是想套用自訂主題樣板的情況。免費版支援基本樣式修改,付費版加上進階模組。
兩者都能和 WPS Hide Login 並用。先用 WPS Hide Login 改網址,再用 Colorlib 或 Theme My Login 美化登入頁,組合效果最強。設定流程基本上就是裝 > 啟用 > 填空白欄位或在視覺編輯器拖拖拽拽,不涉及複雜後台。
假如你的主題本身就包含登入頁客製化選項(某些企業級主題會內建),可以先試試看,再決定要不要額外裝外掛——避免功能重疊拖累效能。
換登入頁後的常見問題與因應方式
忘記新登入網址怎麼辦
這是最常見的麻煩。改完登入網址後,如果你不小心忘了新網址是什麼,或是換電腦沒存到書籤,就會卡關。預防辦法是記在密碼管理器或文件裡,最起碼抄一份到筆記本。緊急情況下,可以透過 FTP 或檔案管理器登入主機,編輯 wp-config.php 附近的 .htaccess 檔(或後台設定檔案),通常能找到登入相關設定,或乾脆停用 WPS Hide Login 外掛讓預設登入路徑恢復——進去後台改回新網址。
登入後導回位置亂跳
設定完自訂登入頁後,有時登入成功會被導到奇怪的頁面,而不是後台。這通常是登入重導設定衝突——外掛、主題、其他安全外掛都可能定義登入後要去哪兒。檢查 WPS Hide Login 或 Colorlib 的設定,確認登入成功後的導向網址有沒有明確指定,或者暫時停用其他可能衝突的外掛試試看。
某些自動化工具失效
自動發文排程、API 呼叫、WP-CLI 指令等,如果寫死了舊登入路徑 /wp-admin,改了登入網址後就會打不進去。檢查這些工具的設定檔案,改用新登入網址或確認它們走的認證方式(如 JWT token 或 cookie)能否繞過登入路由直接呼叫 API。多數工具不走登入頁認證,所以影響有限,但值得檢查一遍。
前端外掛的登入表單無法使用
某些會員外掛或登入小工具可能有自己的登入表單。如果它們還指向舊登入路徑,就會指向死頁面。通常這類外掛會自動偵測新登入網址並更新路由,但如果沒有,就得進外掛設定手動調整登入頁網址。
安全與品牌的完整解決方案
改登入網址加上美化登入頁,等於一個既安全又專業的使用者入口。從實施面來說,外掛做法的優點是一次性設定、無需程式碼,日常維護就是定期更新外掛確保相容性。搭配其他安全措施——如限制登入次數(防暴破)、啟用兩階段驗證、定期改密碼——你的網站後台就很難被外力入侵。而從使用者體驗看,一個帶著你的 Logo、符合品牌調性的登入頁,能明顯提升訪客對網站專業度的評分。隨著網站成長,這類細節累積起來,就是使用者信任感的來源。