阻止wp-admin的访问

Question

我试图使用一个.htaccess文件来阻止对wp文件夹的访问。我已经阅读了Brute攻击文档(https://wordpress.org/support/article/brute-force-attacks/)，并使用ip地址将下面的块添加到.htaccess文件中，并将其放在wp-admin文件夹中：

# Block access to wp-admin.

ErrorDocument 401 default

order deny,allow
allow from x.x.x.x 
allow from y.y.y.y 
allow from z.z.z.z 
deny from all

这似乎是可行的，但用户收到的错误是“这个网页有一个重定向循环”。是否有方法将用户发送到404或另一个错误文档，而不是重定向循环？我不太清楚这是如何发生的，因为.htaccess文件中没有其他内容。

我没有密码保护wp文件夹和添加ErrorDocument 401默认似乎也不起作用。

Answer 1

将htaccess文件放置在wp-admin目录中对我不起作用，所以我走了另一条路，它似乎运行得很好。下面是我的主htaccess文件中的内容：

<files wp-login.php>
# set up rule order
order deny,allow
# default deny
deny from all
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
</files>

ErrorDocument 401 default
ErrorDocument 403 default
ErrorDocument 404 default

Answer 2

您还可以使用htaccess/htpasswd阻止对wp-admin的访问，这将迫使用户在访问wp-admin之前输入额外的名称/密码。这样，蛮力攻击就会在服务器级被阻止，甚至达不到wordpress登录掩码。

你得把/wp-admin/.htaccess

增加以下几行：

AuthType Basic
AuthName "restricted area"
AuthUserFile /absolute-server-path-to-wp/wp-admin/.htpasswd
require valid-user

请注意:您需要插入绝对服务器路径！在那里，您定义了存储密码的路径。

您还需要生成.htpasswd文件。您可以使用如下工具：http://www.kxs.net/support/htaccess_pw.html

将.htpasswd文件上载到AuthUserFile行中定义的位置。它应该位于您的站点访问者可以访问的级别之上，所以如果您的站点位于/httpdocs/wordpress/中，您可以将其放置在/httpdocs中。

有关设置它的更多详细信息，可以在这里找到：如何使用htaccess保护目录