Blochează accesul la wp-admin

Question

Blochează accesul la wp-admin

6 mai 2015, 16:38:25

Vizualizări: 22.7K

Voturi: 3

Încerc să folosesc un fișier .htaccess pentru a bloca accesul la folderul wp-admin. Am citit documentația despre Atacurile Brute Force (https://wordpress.org/support/article/brute-force-attacks/) și am adăugat blocul de mai jos, folosind adresele mele IP, în fișierul .htaccess plasat în folderul wp-admin:

# Blochează accesul la wp-admin.

ErrorDocument 401 default

order deny,allow
allow from x.x.x.x 
allow from y.y.y.y 
allow from z.z.z.z 
deny from all

Pare să funcționeze, dar eroarea pe care o primește utilizatorul este "Această pagină web are o buclă de redirecționare". Există vreo modalitate de a trimite utilizatorul către o pagină 404 sau alt document de eroare în loc de bucla de redirecționare? Nu sunt sigur cum apare acest lucru, deoarece nu există nimic altceva în fișierul .htaccess.

Nu protejez folderul wp-admin cu parolă și adăugarea ErrorDocument 401 default nu pare să funcționeze nici ea.

brandozz

812

wp admin htaccess securitate

Comentarii

posibilă dublură a .htaccess în wp-admin produce o buclă de redirecționare

kittsville

6 mai 2015 16:43:06

Conform răspunsului tău, ai încercat să muți linia ErrorDocument 401 default la sfârșitul fișierului tău .htaccess? Știu că am întâlnit situații cu propriul fișier .htaccess în care ordinea comenzilor este importantă. (De asemenea, observ că în răspunsul tău, linia deny from all apare înaintea liniilor allow from [x], ceea ce poate fi și el relevant.)

Pat J

6 mai 2015 18:23:11

Ceea ce am mai jos în răspunsul meu funcționează de fapt foarte bine. Când încerc să accesez wp-login.php de la orice alt IP în afară de cel permis, acesta este blocat.

brandozz

6 mai 2015 18:37:53

Toate răspunsurile la întrebare

Comentarii

Știu că este un răspuns lung, dar la ce te referi prin "fișierul principal htaccess"? La care fișier te referi? Mulțumesc anticipat.

Apache

21 nov. 2020 23:10:51

@Apache, ei se referă la fișierul .htaccess din directorul rădăcină.

Luke Stevenson

30 ian. 2024 01:06:00

De asemenea, poți bloca accesul la wp-admin folosind htaccess/htpasswd, ceea ce va forța utilizatorii să introducă un nume/parolă suplimentară înainte de a putea accesa wp-admin. În acest fel, atacurile brute force vor fi blocate la nivel de server, nici măcar nu ajung la masca de login WordPress.

Trebuie să editezi /wp-admin/.htaccess

Adaugă următoarele linii:

AuthType Basic
AuthName "zonă restricționată"
AuthUserFile /calea-absolută-pe-server-către-wp/wp-admin/.htpasswd
require valid-user

Notă: Trebuie să introduci calea absolută pe server! Acolo definești calea unde este stocată parola.

De asemenea, trebuie să generezi fișierul .htpasswd. Poți folosi un instrument precum: http://www.kxs.net/support/htaccess_pw.html

Încarcă fișierul .htpasswd în locația definită mai sus în linia AuthUserFile. Ar trebui să fie plasat deasupra nivelului care poate fi accesat de vizitatorii site-ului tău, deci dacă site-ul tău este în /httpdocs/wordpress/, ai putea să-l plasezi în /httpdocs.

Mai multe detalii despre configurare pot fi găsite aici: Cum să protejezi un director cu htaccess

Plastikschnitzer

9

15 sept. 2015 08:36:22

Comentarii

Un răspuns care conține doar un link este unul slab. Te rog să incluzi elementele de bază din link în răspuns și apoi să adaugi articolul ca referință.

Mayeenul Islam

15 sept. 2015 09:09:42

Nu previn atacurile brute force, ci doar adaugă un alt strat de securitate precum o brânză elvețiană (cu găuri).

Luke Stevenson

30 ian. 2024 01:07:39

brandozz 812 · Accepted Answer · 2015-05-06T18:13:42Z

Plasarea fișierului htaccess în directorul wp-admin nu a funcționat pentru mine, așa că am încercat o altă abordare care pare să funcționeze foarte bine. Mai jos este ceea ce am introdus în fișierul meu htaccess principal:

<files wp-login.php>
# setează ordinea regulilor
order deny,allow
# implicit deny
deny from all
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
</files>

ErrorDocument 401 default
ErrorDocument 403 default
ErrorDocument 404 default

brandozz

812

6 mai 2015 18:13:42