私のウェブサイトは最近、スパムユーザーアカウントの波の攻撃を受けています。私のウェブサイトはユーザーにユーザー名として彼らのEメールアドレスを使うことを強制するカスタムログインを使います、しかしスパムユーザーはすべて通常のユーザー名を持っているので私は彼らが/wp-login.php
にPOSTリクエストを送るスクリプトを実行していると思います。
このページを削除するだけでは十分ではありません。スパマーがソフトウェアを使用しており、これらのアカウントを手作りしていないことを確信しているので、このページへのPOSTリクエストによるユーザーアカウント作成機能を無効にする必要があります。
最後に、自分のプロフィールにバックリンクを挿入するためのアカウントを作成していると思うので、/wp-admin/profile.php
を無効にする必要があります。
これをどのようにして行うのでしょうか。
私はこれがおそらくサーバーによってうまく扱われることに気づいた、私は.htaccess
に以下を入れることになった:
# Block regular login/registration and profile pages
<Files wp-login.php>
Order Deny,Allow
Deny from All
</Files>
<Files profile.php>
Order Deny,Allow
Deny from All
</Files>
これにより、それらのページへのリクエストが防止され、ユーザーは私のカスタムログインページと登録ページを使用するように強制されます。
編集: 私はこれを明確にしていないと思いますし、私はこの解決法をほとんどのWordPressユーザーに推奨しません。
カスタムユーザー登録、ログイン、プロフィールシステムがあります。これらはデフォルトのWordPressのものを拡張するものではありませんが、完全に独立しており、すべてのロジックと要求がシステム自体によって処理され、渡されないのでこれらのページにアクセスする必要はありませんWordPressデータベース).
これは、テーマを変更するためだけのカスタムログインページを提供するが、実際にはPOST要求をwp-login.php
に送り返すプラグインを言うのと同じではありません。