web-dev-qa-db-fra.com

Bloquer l'accès à wp-admin

J'essaie d'utiliser un fichier .htaccess pour bloquer l'accès au dossier wp-admin. J'ai lu le document sur les attaques contre la force brute ( https://codex.wordpress.org/Brute_Force_Attacks ) et j'ai ajouté le bloc ci-dessous, en utilisant mes adresses ip, au fichier .htaccess et l'ai placé dans le dossier wp-admin:

# Block access to wp-admin.

ErrorDocument 401 default

order deny,allow
allow from x.x.x.x 
allow from y.y.y.y 
allow from z.z.z.z 
deny from all

Cela semble fonctionner, mais l'erreur qu'un utilisateur reçoit est "Cette page Web a une boucle de redirection". Est-il possible d'envoyer l'utilisateur vers un 404 ou un autre document d'erreur au lieu de la boucle de redirection? Je ne sais pas trop comment cela se passe car il n'y a rien d'autre dans le fichier .htaccess.

Je ne protège pas le dossier wp-admin par un mot de passe et ajouter ErrorDocument 401 par défaut ne semble pas fonctionner non plus.

wp-adminhtaccesssecurity
1
brandozz

Placer le fichier htaccess dans le répertoire wp-admin ne fonctionnait pas pour moi, alors je suis passé par un autre chemin et il semble fonctionner très bien. Voici ce que j'ai dans mon fichier main htaccess:

<files wp-login.php>
# set up rule order
order deny,allow
# default deny
deny from all
allow from x.x.x.x
allow from y.y.y.y
allow from z.z.z.z
</files>

ErrorDocument 401 default
ErrorDocument 403 default
ErrorDocument 404 default
1
brandozz

Vous pouvez également bloquer l'accès à wp-admin avec htaccess/htpasswd, ce qui obligera les utilisateurs à entrer un nom/mot de passe supplémentaire avant de pouvoir accéder à wp-admin. De cette façon, les attaques par force brute seront bloquées au niveau du serveur, elles n'atteindront même pas le masque de connexion wordpress.

Vous devez etit /wp-admin/.htaccess

Ajoutez les lignes suivantes:

AuthType Basic
AuthName "restricted area"
AuthUserFile /absolute-server-path-to-wp/wp-admin/.htpasswd
require valid-user

Remarque: vous devez insérer le chemin absolu du serveur! Là vous définissez le chemin où le mot de passe est stocké.

Vous devez également générer le fichier .htpasswd. Vous pouvez utiliser un outil tel que: http://www.kxs.net/support/htaccess_pw.html

Téléchargez le fichier .htpasswd à l’emplacement défini ci-dessus dans la ligne AuthUserFile. Il doit être situé au-dessus du niveau auquel les visiteurs de votre site peuvent accéder. Par conséquent, si votre site est en /httpdocs/wordpress/, vous pouvez le placer en /httpdocs.

Plus de détails sur sa configuration peuvent être trouvés ici: Comment protéger un répertoire avec htaccess

1
Plastikschnitzer