Aceasta este o postare invitată de Eric Sizemore, un dezvoltator web, programator și domeniu.
În lumina evenimentelor recente, oricine folosește WordPress este, aparent, susceptibil la ceea ce se numește „spargerea distribuită a conturilor de administrator WordPress”. Puteți vizualiza acest articol pentru mai multe informații. Această postare își propune să ofere un strat suplimentar de securitate atât pentru directorul wp-admin, cât și pentru fișierul wp-login.php.
Pasul 1 – Determinați cine va avea acces
În primul rând, acest strat suplimentar de securitate implică blocarea tuturor IP-urilor, cu excepția câtorva selectate. Dacă IP-ul dvs. este dinamic, s-ar putea să nu fie cea mai bună opțiune pentru dvs. Dacă aveți mulți utilizatori cărora le permiteți accesul la blogul dvs., acest lucru ar putea deveni consumator de timp. Dacă sunteți singurul autor al blogului și oricum nu permiteți înregistrări – acest lucru va fi destul de simplu.
Pasul 2 – Crearea .htaccess
Mai întâi, să obținem adresa IP. Accesați IPChicken și notați-vă adresa IP. Apoi, descărcați fișierele .htaccess care au fost create pentru această postare.
După ce extrageți arhiva, ar trebui să vedeți un fișier .htaccess și un folder wp-admin cu un fișier .htaccess în interior. Deschideți fișierul principal .htaccess și ar trebui să vedeți:
<Fișiere wp-login.php>
Ordine Refuză,Permite
Refuză de la toți
Permite de la xx.xx.xx.xx
</Fișiere>
Editați linia „Allow from” pentru a reflecta adresa dvs. IP. Pentru a adăuga mai multe adrese IP, adăugați o nouă linie cu „Allow from” și următoarea adresă IP, și așa mai departe. Acum, șansele sunt că aveți deja un fișier .htaccess în folderul rădăcină WordPress. Dacă da, editați fișierul și copiați conținutul fișierului dvs. .htaccess editat din zip, apoi salvați/reîncărcați.
Acum deschideți fișierul .htaccess din folderul wp-admin din zip. Ar trebui să vedeți ceva de genul:
Ordine Refuză,Permite
Refuză de la toți
Permite de la xx.xx.xx.xx
Fă cum ai făcut mai sus. Și adaugă orice adrese IP suplimentare pe care vrei să le permiți în zona wp-admin. Șansele sunt să nu ai un fișier .htaccess în folderul tău wp-admin, așa că doar încarcă fișierul .htaccess editat din zip în folderul tău wp-admin.
Pasul 3 – Ai terminat
Și asta e tot! 🙂
Fără fișiere de descărcat.
Perfect
Am o problemă neacceptată de la o adresă IP, dar funcționează de la alta. Aveți soluții?
S-ar putea să doriți să contactați suportul de găzduire cu privire la acest lucru.
Știu că acest site oferă postări și alte materiale de calitate, există vreun alt
site care prezintă astfel de date de calitate?
Nu funcționează. Am primit: Eroare internă de server
S-ar putea să doriți să contactați suportul de găzduire cu privire la acest lucru.
Mulțumesc. Exact ce căutam
Ne bucurăm că ai găsit acest lucru util 🙂
Salutare tuturor,
Am restricție IP pe site-ul meu pentru wp-login.php în .htaccess. dar, clienții mei nu se pot deconecta, afișând eroare pentru restricția IP. cineva îmi poate oferi o soluție optimă doar pentru restricția IP pentru pagina de autentificare a administratorului.
Care este codul pentru restricția pe care o folosești? A fost adăugat doar în folderul wp-admin?
Nu există o autentificare diferită pentru administrator. Problema cu delogarea este că WP folosește wp-login.php atât pentru autentificare, cât și pentru delogare.
Cea mai bună opțiune este să creezi o pagină de delogare diferită pentru clienți.
Atenție: Dacă site-ul tău Wordpress folosește Woocommerce, atunci codul de mai jos va bloca trimiterea e-mailurilor cu comenzi noi!
Bună, Mulțumesc pentru articolul util, pot adăuga un strat suplimentar de securitate pe site-ul meu.
Dar am o întrebare, aceasta va permite doar IP-ului meu să acceseze tabloul de bord WP-admin etc. Afectează plugin-urile sau fișierele etc., vreau să spun că au nevoie sau nu au nevoie de conexiunea la pagina wp-login?
Acest cod este specific pentru blocarea accesului la pagina de autentificare. Acestea fiind spuse, dacă plugin-urile instalate au fost codificate corect, atunci dacă un vizitator nu se poate autentifica, nu ar trebui să aibă acces la paginile de administrare.
Nu a funcționat pentru mine.
Funcționează, l-am găsit într-unul dintre proiectele mele vechi 🙂
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^95\.154\.22\.86$
RewriteCond %{REMOTE_ADDR} !^77\.243\.128\.133$
RewriteRule ^(.*)$ – [R=403,L]
Opțiunea Rewrite funcționează pentru mine, dar nu pot accesa pagina web de administrare de pe localhost
Acest lucru nu funcționează pe Apache 2.4 deoarece ordinea allow,deny este depreciată.
În schimb, trebuie să utilizați mod_rewrite.c.
Ar putea cineva să mă ajute cu ce IP ar trebui să introduc în fișierul htaccess. Este IP-ul public pe care îl văd când caut pe Google IP-ul meu, sau este cel static
Destul de util în ceea ce privește securitatea. Am întâmpinat recent câteva atacuri pe site-ul meu wp și caut o soluție bună.
După ce am lăsat acest sistem în vigoare de câteva luni, acum am reușit să mă relaxez. Se pare că funcționează, deoarece fusesem spart de mai multe ori înainte.
Folosesc un interval de IP în loc de un IP specific în .htaccess și funcționează fantastic. Vă mulțumesc foarte mult.
Mă bucur să aud că funcționează pentru tine. 😀
Mulțumesc pentru informații
Eram foarte frustrat că blogul meu a fost spart a patra oară.
Am vrut să fiu 100% sigur că opresc toate atacurile de boți.
În ultimele zile am încercat multe pluginuri, inclusiv askapache, dar nu funcționează bine din cauza unei probleme cu găzduirea mea.
În cele din urmă am obținut o soluție personalizată, am pus un fișier .htaccess în folderul wp-admin și l-am blocat pe IP pentru a se deschide doar cu intervalul meu de IP. și funcționează. Acum niciun bot nu poate încerca să verifice opțiunile și fișierele mele de configurare. Decât dacă botul este chiar pe PC-ul meu.
: )
Cu stimă
Dar îmi accesez site-ul din tot felul de locuri, inclusiv de pe telefonul meu mobil.
Ceea ce mi-aș dori cu adevărat este să restricționez accesul din orice loc în afara Americii de Nord și asta probabil ar reduce mult numărul de atacuri cibernetice, nu-i așa?
Da, este încă deschis, dar mult mai puțin larg deschis decât era anterior.
A încercat cineva așa ceva?
Poate, dar ar trebui să-l integrezi cu o bază de date geo IP-to-location, ceea ce ar putea fi un pic exagerat pentru ceva de genul acesta.
Dacă vă conectați din multe locuri/IP-uri, ați putea dori să luați în considerare ceva de genul Login Lockdown.
Pluginul de blocare a autentificării este, de asemenea, util. Limitează și apoi blochează încercările eșuate de autentificare. Cam ca IPtables pentru wp.
http://wordpress.org/extend/plugins/login-lockdown/
L-am adăugat la pre-instalarea noastră pentru clienții page.ly, așa că va fi activat implicit după înregistrare.
PS.. îmi place noul design themelab.com.
Asta sună destul de eficient. Mai ales dacă te autentifici din multe locații diferite cu adrese IP diferite, s-ar putea să nu fie practic să adaugi o regulă .htaccess pentru fiecare.
Și mă bucur că îți place designul!
@Elizabeth: Nicio problemă! Anunță-mă cum funcționează pentru tine.
Mulțumesc mult pentru asta.
Am experimentat tentative de exploatare pe mai multe dintre site-urile mele WordPress și am folosit ht.access pentru a bloca IP-urile individuale. Dar asta pare mult mai eficient. Sper să funcționeze bine.
Mulțumesc Leland.
@badcat: Aceasta este o întrebare bună, dar nu cred că va trebui să repeți procesul, deoarece aceste fișiere .htaccess nu sunt incluse în actualizarea propriu-zisă.
Va trebui să repeți acest proces după ce apare o nouă versiune de WordPress?
Sau ar avea mai mult sens să refuzi folderul wp-admin în fișierul .htaccess al rădăcinii site-ului, deoarece acesta nu este actualizat atunci când WP își actualizează nucleul?