Wp-adminへのアクセスをブロックする
Wp-adminフォルダへのアクセスをブロックするために.htaccessファイルを使用しようとしています。私は総当たり攻撃のドキュメント( https://codex.wordpress.org/Brute_Force_Attacks )を読み、私のIPアドレスを使用して以下のブロックを.htaccessファイルに追加して配置しましたwp-adminフォルダ
# Block access to wp-admin.
ErrorDocument 401 default
order deny,allow
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
deny from all
動作しているようですが、ユーザーが受け取るエラーは「このWebページにはリダイレクトループがあります」です。リダイレクトループの代わりに404または別のエラードキュメントにユーザーを送信する方法はありますか? .htaccessファイルには他に何もないので、それがどのように発生しているかはよくわかりません。
私はパスワードでwp-adminフォルダを保護しているわけではなく、ErrorDocument 401デフォルトを追加してもうまくいかないようです。
Htaccessファイルをwp-adminディレクトリに配置してもうまくいきませんでしたので、別の方法で行ったところうまく動作しているようです。以下は私の main htaccessファイルにあるものです。
<files wp-login.php>
# set up rule order
order deny,allow
# default deny
deny from all
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
</files>
ErrorDocument 401 default
ErrorDocument 403 default
ErrorDocument 404 default
Htaccess/htpasswdを使用してwp-adminへのアクセスをブロックすることもできます。これにより、ユーザーはwp-adminにアクセスする前に追加の名前/パスワードを入力する必要があります。このように、ブルートフォース攻撃はサーバーレベルでブロックされ、ワードプレスのログインマスクにさえ到達しません。
/wp-admin/.htaccessを編集する必要があります
以下の行を追加してください。
AuthType Basic
AuthName "restricted area"
AuthUserFile /absolute-server-path-to-wp/wp-admin/.htpasswd
require valid-user
注意:絶対サーバーパスを挿入する必要があります。そこで、パスワードが保存されているパスを定義します。
また、.htpasswdファイルを生成する必要があります。あなたはのようなツールを使用することができます: http://www.kxs.net/support/htaccess_pw.html
.htpasswdファイルを上記のAuthUserFile行に定義されている場所にアップロードします。あなたのサイトが/httpdocs/wordpress/にある場合、あなたはそれを/httpdocsに置くかもしれません。
設定の詳細についてはこちらをご覧ください。 htaccessでディレクトリを保護する方法