web-dev-qa-db-ja.com

Wp-adminへのアクセスをブロックする

Wp-adminフォルダへのアクセスをブロックするために.htaccessファイルを使用しようとしています。私は総当たり攻撃のドキュメント( https://codex.wordpress.org/Brute_Force_Attacks )を読み、私のIPアドレスを使用して以下のブロックを.htaccessファイルに追加して配置しましたwp-adminフォルダ

# Block access to wp-admin.

ErrorDocument 401 default

order deny,allow
allow from x.x.x.x 
allow from y.y.y.y 
allow from z.z.z.z 
deny from all

動作しているようですが、ユーザーが受け取るエラーは「このWebページにはリダイレクトループがあります」です。リダイレクトループの代わりに404または別のエラードキュメントにユーザーを送信する方法はありますか? .htaccessファイルには他に何もないので、それがどのように発生しているかはよくわかりません。

私はパスワードでwp-adminフォルダを保護しているわけではなく、ErrorDocument 401デフォルトを追加してもうまくいかないようです。

1
brandozz

Htaccessファイルをwp-adminディレクトリに配置してもうまくいきませんでしたので、別の方法で行ったところうまく動作しているようです。以下は私の main htaccessファイルにあるものです。

<files wp-login.php>
# set up rule order
order deny,allow
# default deny
deny from all
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
</files>

ErrorDocument 401 default
ErrorDocument 403 default
ErrorDocument 404 default
1
brandozz

Htaccess/htpasswdを使用してwp-adminへのアクセスをブロックすることもできます。これにより、ユーザーはwp-adminにアクセスする前に追加の名前/パスワードを入力する必要があります。このように、ブルートフォース攻撃はサーバーレベルでブロックされ、ワー​​ドプレスのログインマスクにさえ到達しません。

/wp-admin/.htaccessを編集する必要があります

以下の行を追加してください。

AuthType Basic
AuthName "restricted area"
AuthUserFile /absolute-server-path-to-wp/wp-admin/.htpasswd
require valid-user

注意:絶対サーバーパスを挿入する必要があります。そこで、パスワードが保存されているパスを定義します。

また、.htpasswdファイルを生成する必要があります。あなたはのようなツールを使用することができます: http://www.kxs.net/support/htaccess_pw.html

.htpasswdファイルを上記のAuthUserFile行に定義されている場所にアップロードします。あなたのサイトが/httpdocs/wordpress/にある場合、あなたはそれを/httpdocsに置くかもしれません。

設定の詳細についてはこちらをご覧ください。 htaccessでディレクトリを保護する方法

1