我正在尝试使用。htaccess文件阻止对wp admin文件夹的访问。我读过暴力袭击医生(https://wordpress.org/support/article/brute-force-attacks/) 我已经使用我的ip地址将下面的块添加到。htaccess文件并将其放置在wp admin文件夹中:
# Block access to wp-admin.
ErrorDocument 401 default
order deny,allow
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
deny from all
我没有密码保护wp admin文件夹,添加ErrorDocument 401默认值似乎也不起作用。
将htaccess文件放在wp admin目录中对我不起作用,所以我采取了不同的方法,它似乎工作得很好。下面是我的main htaccess文件:
<files wp-login.php>
# set up rule order
order deny,allow
# default deny
deny from all
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
</files>
ErrorDocument 401 default
ErrorDocument 403 default
ErrorDocument 404 default
您还可以使用htaccess/htpasswd阻止对wp admin的访问,这将强制用户在访问wp admin之前输入额外的名称/密码。这样,暴力攻击将在服务器级别被阻止,它们甚至无法到达wordpress登录掩码。
你必须/wp-admin/.htaccess
添加以下行:
AuthType Basic
AuthName "restricted area"
AuthUserFile /absolute-server-path-to-wp/wp-admin/.htpasswd
require valid-user
您还需要生成。htpasswd文件。您可以使用以下工具:http://www.kxs.net/support/htaccess_pw.html
上载。htpasswd文件到上面AuthUserFile行中定义的位置。它应该位于您网站的访问者可以访问的标高之上,因此如果您的网站位于/httpdocs/wordpress/, 你可以把它放在/httpdocs.
有关设置的更多详细信息,请参见:How to protect a directory with htaccess
情况如下:配置我有一个WordPress多站点设置,其中不同的站点位于不同的域上。其中一些站点包含在其域中的子文件夹中,有些则不包含。对于位于子文件夹中的站点,所有站点的子文件夹名称都相同。以下是示例: Site | URL ----------------------- Main site | example.com Site A | sitea.com Site B | siteb.com/foo Site C | si