Italiano
it

Bloccare l'accesso a wp-admin

6 mag 2015, 16:38:25
Visualizzazioni: 22.7K
Voti: 3

Sto cercando di utilizzare un file .htaccess per bloccare l'accesso alla cartella wp-admin. Ho letto la documentazione sugli attacchi Brute Force (https://wordpress.org/support/article/brute-force-attacks/) e ho aggiunto il blocco seguente, utilizzando i miei indirizzi IP, al file .htaccess posizionandolo nella cartella wp-admin:

# Blocca l'accesso a wp-admin.

ErrorDocument 401 default

order deny,allow
allow from x.x.x.x 
allow from y.y.y.y 
allow from z.z.z.z 
deny from all

Sembra funzionare ma l'errore che un utente riceve è "Questa pagina web ha un loop di reindirizzamento". C'è un modo per reindirizzare l'utente a una pagina 404 o a un altro documento di errore invece del loop di reindirizzamento? Non sono sicuro di come ciò stia accadendo dato che non c'è nient'altro nel file .htaccess.

Non sto proteggendo con password la cartella wp-admin e l'aggiunta di ErrorDocument 401 default non sembra funzionare.

wp admin htaccess sicurezza
3
Commenti

possibile duplicato di .htaccess in wp-admin produce un loop di reindirizzamento

kittsville kittsville
6 mag 2015 16:43:06

Per la tua risposta, hai provato a spostare la linea ErrorDocument 401 default alla fine del tuo file .htaccess? So di aver incontrato situazioni con il mio file .htaccess dove l'ordine dei comandi è importante. (Inoltre, noto che nella tua risposta, la linea deny from all appare prima delle linee allow from [x], il che potrebbe essere rilevante.)

Pat J Pat J
6 mag 2015 18:23:11

Quello che ho scritto nella mia risposta funziona molto bene. Quando provo ad accedere a wp-login.php da qualsiasi altro IP oltre a quelli consentiti, viene bloccato.

brandozz brandozz
6 mag 2015 18:37:53
Tutte le risposte alla domanda 2
2
3

Posizionare il file htaccess nella directory wp-admin non ha funzionato per me, quindi ho seguito un approccio diverso che sembra funzionare molto bene. Ecco ciò che ho inserito nel mio file htaccess principale:

<files wp-login.php>
# imposta l'ordine delle regole
order deny,allow
# nega tutto di default
deny from all
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
</files>

ErrorDocument 401 default
ErrorDocument 403 default
ErrorDocument 404 default
6 mag 2015 18:13:42
Commenti

So che è una risposta lunga, ma cosa intendi con "file htaccess principale"? A quale file ti riferisci? Grazie in anticipo.

Apache Apache
21 nov 2020 23:10:51

@Apache, intendono il file .htaccess nella directory root.

Luke Stevenson Luke Stevenson
30 gen 2024 01:06:00
2
0

Puoi anche bloccare l'accesso a wp-admin utilizzando htaccess/htpasswd, il che obbligherà gli utenti a inserire un ulteriore nome utente/password prima di poter accedere a wp-admin. In questo modo, gli attacchi brute force verranno bloccati a livello server, senza nemmeno raggiungere la maschera di login di WordPress.

Devi modificare il file /wp-admin/.htaccess

Aggiungi le seguenti righe:

AuthType Basic
AuthName "area riservata"
AuthUserFile /percorso-assoluto-sul-server/wp-admin/.htpasswd
require valid-user

Nota bene: Devi inserire il percorso assoluto sul server! Qui definisci il percorso dove verrà memorizzata la password.

Dovrai anche generare il file .htpasswd. Puoi utilizzare uno strumento come: http://www.kxs.net/support/htaccess_pw.html

Carica il file .htpasswd nella posizione definita sopra nella riga AuthUserFile. Dovrebbe trovarsi al di sopra del livello accessibile dai visitatori del tuo sito, quindi se il tuo sito è in /httpdocs/wordpress/, potresti posizionarlo in /httpdocs.

Maggiori dettagli su come configurarlo sono disponibili qui: Come proteggere una directory con htaccess

15 set 2015 08:36:22
Commenti

Le risposte composte solo da link sono di scarsa qualità. Per favore, includi le informazioni di base dal link nella risposta e poi aggiungi il riferimento all'articolo.

Mayeenul Islam Mayeenul Islam
15 set 2015 09:09:42

Non previene gli attacchi brute force, aggiunge solo un altro strato di protezione limitata (come un formaggio svizzero).

Luke Stevenson Luke Stevenson
30 gen 2024 01:07:39
Domande correlate
Hook wp_login non funzionante
2
risposte
Come accedere ai campi personalizzati di Ultimate Member?
4
risposte
WP_query: meta_key con regola personalizzata per valore specifico
1
risposte
Come cambio l'autore di un custom post type?
3
risposte
Perché WP_Query('showposts=5') mostra solo 1 articolo?
2
risposte
Ottenere il post_id nella funzione wp_ajax
2
risposte