Những file nào sẽ giúp bạn hạn chế truy cập vào WP đăng nhập PHP?

Bạn có thể sử dụng. htaccess để bảo vệ mật khẩu đăng nhập wp của bạn. php từ các nỗ lực đăng nhập brute force. Quá trình này sẽ yêu cầu một lớp bảo mật bổ sung (tên người dùng và mật khẩu bổ sung) để truy cập thông tin đăng nhập WordPress

Bước 1

Trong trình duyệt tệp cPanel của bạn, hãy điều hướng đến thư mục “nhà” cấp cao nhất. Bạn sẽ muốn tạo một tệp có tên. htpasswd (chấm htpasswd). Bên trong tệp này, bạn sẽ cần đặt tên người dùng và mật khẩu cơ bản ở định dạng như vậy. tên tài khoản. mật khẩu  (đảm bảo đặt. giữa tên người dùng và mật khẩu)

Bước 2

Tiếp theo, bạn sẽ muốn điều hướng đến thư mục public_html của mình hoặc thư mục chứa cài đặt WordPress của bạn. Đây sẽ là cùng thư mục nơi đăng nhập wp của bạn. tập tin php nằm. Định vị tệp có tên. htaccess và nhấp vào Chỉnh sửa mã. Nếu bạn không thể nộp. htaccess, bạn sẽ cần nhấp vào nút “Cài đặt” ở góc trên cùng bên phải của Trình quản lý tệp. Tiếp theo, chọn Show Hidden Files và lưu, như được hiển thị bởi vị trí của con trỏ trong hình ảnh này

Điều này sẽ làm cho. tập tin htaccess có thể nhìn thấy. Bạn sẽ muốn thêm các dòng bên dưới vào. tập tin htaccess

#Protect WP Login
 ErrorDocument 401 "Unauthorized Access"
 ErrorDocument 403 "Forbidden"
 
 AuthName "Authorized Access Only"
 AuthType Basic
 AuthUserFile /home/.htpasswd
 require valid-user
 

Bây giờ bạn có thể lưu tệp htaccess của mình bằng mã được hiển thị ở trên. Bây giờ, khi bạn duyệt đến wp-admin hoặc wp-login, bạn sẽ được nhắc nhập tên người dùng và mật khẩu. Xin lưu ý, phương pháp này không có nghĩa là mức độ bảo mật cao liên quan đến tên người dùng và mật khẩu được đặt ở dạng văn bản rõ ràng bên trong tệp – mục đích của phương pháp này là chỉ đơn giản là ngăn bot và người dùng không thể truy cập trực tiếp

Mặc dù danh tiếng của Hệ thống quản lý nội dung WordPress vượt quá mọi mong đợi về xuất bản nội dung hoàn hảo và kiểm soát truy cập người dùng liền mạch, nhưng vẫn có một số vi phạm bảo mật đáng lo ngại cần xử lý ưu tiên

Hai điểm truy cập quan trọng trên website WordPress cần được bảo vệ bằng mọi giá. Cái đầu tiên là đăng nhập wp. trang php chịu trách nhiệm cung cấp cho cả người dùng bình thường và đặc quyền

[ Bạn cũng có thể thích. Cách đặt lại mật khẩu quản trị viên WordPress qua MySQL ]

Cái thứ hai là trang wp-admin/ chịu trách nhiệm cung cấp cho người dùng quản trị của trang web. Bảo vệ hai trang web WordPress này không khuyến khích các cuộc tấn công vũ phu

Chặn quyền truy cập vào wp-admin và wp-login trong Apache

Định cấu hình môi trường Máy chủ web Apache để giao tiếp với trang web WordPress của bạn ở mọi khả năng trước tiên yêu cầu quyền truy cập vào tệp cấu hình chính của máy chủ lưu trữ

Mở tệp cấu hình apache WordPress vhost của bạn

Tệp Vhost WordPress Apache

Cuối cùng, đây là tệp cấu hình tùy chỉnh được liên kết với trang web WordPress của tôi. Chúng tôi sẽ sử dụng các thẻ trong tệp này để chặn quyền truy cập vào wp-admin và wp-login. các trang php WordPress

deny from all


deny from all

Chặn quyền truy cập vào Quản trị viên WordPress trong Apache

Bây giờ hãy khởi động lại máy chủ Apache

$ sudo systemctl restart apache2   [On Ubuntu, Debian & Mint]
$ sudo systemctl restart httpd     [On RHEL/CentOS/Fedora & Rocky Linux/AlmaLinux]

Tải lại trang sau khi khởi động lại Apache dẫn đến màn hình sau

Kiểm tra quyền truy cập quản trị viên WordPress

Cho phép truy cập vào quản trị viên WordPress theo địa chỉ IP

Nếu bạn chỉ muốn cấp cho mình quyền truy cập vào hai trang này, bạn có thể chỉ định địa chỉ IP mà bạn sẽ sử dụng thông qua mệnh đề allow from như minh họa trong ảnh chụp màn hình sau

allow from 127.0.0.1
allow from 192.168.2.9
allow from 10.32.15.7
deny from all


allow from 127.0.0.1
allow from 192.168.2.9
allow from 10.32.15.7
deny from all

Từ chối quyền truy cập vào quản trị viên WordPress bằng địa chỉ IP

deny from 192.168.2.9
deny from 10.32.15.7
allow from all


deny from 192.168.2.9
deny from 10.32.15.7
allow from all

Đảm bảo khởi động lại máy chủ Apache sau khi thay đổi cấu hình

Chặn quyền truy cập vào wp-admin và wp-login trong Nginx

Với Nginx, cách chặn người dùng truy cập wp-admin và wp-login. php Các trang WordPress gần giống với kỹ thuật của Apache. Đầu tiên, truy cập tệp cấu hình Nginx có liên quan cho trang web WordPress của bạn

Tệp Vhost WordPress Nginx

Các thẻ

$ sudo systemctl restart apache2   [On Ubuntu, Debian & Mint]
$ sudo systemctl restart httpd     [On RHEL/CentOS/Fedora & Rocky Linux/AlmaLinux]

0 để sử dụng với Nginx có cú pháp hơi khác một chút như được mô tả bên dưới

location {
	}

Để chặn tất cả quyền truy cập vào hai trang WordPress

location /wp-admin {
deny all;
}
location = /wp-login.php {
deny all;
}

Chặn quyền truy cập vào Quản trị viên WordPress trong Nginx

Sau khi thực hiện thay đổi, hãy khởi động lại máy chủ Nginx

________số 8_______

Tải lại trang sau khi khởi động lại Nginx dẫn đến lỗi hiển thị sau

Truy cập trang quản trị WordPress

Hạn chế quyền truy cập vào quản trị viên WordPress theo địa chỉ IP

location /wp-admin {
allow 192.168.2.9;
allow 10.32.15.7;
deny all;
}
location = /wp-login.php {
allow 192.168.2.9;
allow 10.32.15.7;
deny all;
}

Chặn quyền truy cập vào quản trị viên WordPress theo địa chỉ IP

location /wp-admin {
deny 192.168.2.9;
deny 10.32.15.7;
allow all;
}
location = /wp-login.php {
deny 192.168.2.9;
deny 10.32.15.7;
allow all;
}

Đảm bảo khởi động lại máy chủ Nginx sau khi thay đổi cấu hình

[ Bạn cũng có thể thích. Cách chặn XML-RPC trong WordPress bằng Nginx/Apache ]

Là quản trị viên WordPress, có quyền quyết định ai có quyền truy cập vào phần nào trên trang web WordPress của bạn sẽ bảo vệ danh tiếng của trang web khỏi những người dùng rủi ro hoặc quyền truy cập có thể ảnh hưởng đến tính toàn vẹn và danh tiếng của trang web.