Czy chcesz ograniczyć dostęp do pliku wp-login.php w WordPressie za pomocą adresu IP?
Strona logowania WordPress jest często atakowana przez ataki DDoS i hakerów w celu uzyskania dostępu do Twojej witryny. Ograniczenie dostępu do określonych adresów IP może skutecznie zablokować takie próby.
W tym artykule pokażemy Ci, jak łatwo ograniczyć dostęp do pliku wp-login.php w WordPressie za pomocą adresu IP.
Dlaczego ograniczać dostęp do wp-login.php według adresu IP?
Strona logowania do witryny WordPress (zazwyczaj wp-login.php) to miejsce, do którego użytkownicy logują się na Twojej stronie.
Jako właściciel strony internetowej, daje Ci to dostęp do obszaru administracyjnego WordPress, gdzie możesz wykonywać konserwację strony, pisać treści i zarządzać swoją stroną.
Jednak powszechne ataki typu brute force w Internecie są znane z tego, że celują w stronę wp-login.php w celu uzyskania dostępu do stron internetowych. Nawet jeśli im się nie uda, mogą nadal spowolnić Twoją stronę internetową lub nawet ją zawiesić.
Jednym ze sposobów radzenia sobie z tą sytuacją jest blokowanie adresów IP, z których pochodzą ataki (porozmawiamy o tym później w artykule).
Adres IP jest jak numer telefonu, który identyfikuje konkretny komputer w Internecie. Hakerzy mogą używać oprogramowania do zmiany swoich adresów IP.
Jednak bardziej zaawansowane ataki wykorzystują większą pulę adresów IP i zablokowanie ich wszystkich może nie być możliwe.
W takim przypadku możesz ograniczyć dostęp do określonych adresów IP używanych przez Ciebie i innych użytkowników Twojej witryny.
Mając to na uwadze, przyjrzyjmy się, jak łatwo ograniczyć dostęp do pliku wp-login.php dla określonych adresów IP, korzystając z 3 różnych metod, w tym zapory sieciowej w chmurze.
1. Ogranicz dostęp do strony logowania WordPress według adresu IP
W tej metodzie musisz dodać kod do pliku .htaccess.
Plik .htaccess to specjalny plik konfiguracyjny serwera, który znajduje się w głównym folderze Twojej witryny i jest dostępny za pomocą FTP lub aplikacji Menedżer plików w panelu sterowania Twojego hostingu WordPress.
Po prostu połącz się ze swoją witryną WordPress za pomocą klienta FTP i edytuj swój plik .htaccess, dodając następujący kod na górze.
<Files wp-login.php>
order deny,allow
Deny from all
# whitelist Your own IP address
allow from xx.xxx.xx.xx
#whitelist some other user's IP Address
allow from xx.xxx.xx.xx
</Files>
Nie zapomnij zastąpić XX-ów swoimi własnymi adresami IP. Swój adres IP możesz łatwo znaleźć, odwiedzając stronę SupportAlly.
Jeśli masz innych użytkowników, którzy również muszą logować się na Twoją stronę internetową, możesz poprosić ich o podanie ich adresów IP. Następnie możesz dodać je również do pliku .htaccess.
Oto kolejny przykład wspomnianego wyżej kodu.
<Files wp-login.php>
order deny,allow
Deny from all
# Whitelist John as website administrator
allow from 35.199.128.0
#Whitelist Tina as Editor
allow from 108.59.80.0
# Whitelist Ali as moderator
allow from 216.239.32.0
</Files>
Teraz użytkownicy z tymi adresami IP będą mogli wyświetlić plik wp-login.php i zalogować się na swoją stronę internetową. Inni użytkownicy zobaczą następujący komunikat o błędzie:
2. Blokowanie konkretnych adresów IP przed dostępem do Twojej strony internetowej
Ta metoda jest całkowitym przeciwieństwem pierwszej metody.
Zamiast ograniczać dostęp do strony logowania WordPress do określonych adresów IP, będziesz mógł blokować adresy IP używane do atakowania Twojej strony internetowej.
Ta metoda jest szczególnie przydatna dla witryn członkowskich WordPress, sklepów e-commerce lub innych witryn, w których wielu użytkowników musi się zalogować, aby uzyskać dostęp do swoich kont.
Wadą tej metody jest to, że hakerzy mogą zmieniać swoje adresy IP i kontynuować atakowanie Twojej witryny.
Na szczęście wiele częstych prób włamań do WordPressa wykorzystuje stały zestaw adresów IP, co sprawia, że ta metoda jest skuteczna w większości przypadków.
Krok 1: Znajdowanie adresów IP, które chcesz zablokować
Najpierw musisz znaleźć adresy IP używane do atakowania Twojej strony internetowej.
Najłatwiejszym sposobem na znalezienie podejrzanych adresów IP jest przejrzenie logów serwera. Po prostu przejdź do panelu sterowania swojego hostingu i kliknij ikonę logów „Raw Access”.
Na następnej stronie kliknij na swoją nazwę domeny, aby pobrać logi dostępu. Spowoduje to pobranie pliku z rozszerzeniem gz.
Będziesz musiał rozpakować plik i otworzyć go w edytorze tekstu, takim jak Notatnik lub TextEdit.
Tutaj znajdziesz adresy IP, które wielokrotnie próbują uzyskać dostęp do strony wp-login.php.
Skopiuj i wklej adresy IP do osobnego pliku tekstowego na swoim komputerze.
Krok 2. Blokowanie podejrzanych adresów IP
Następnie musisz zalogować się do panelu sterowania hostingu WordPress i kliknąć ikonę „Blokowanie IP”.
Na następnym ekranie po prostu skopiuj i wklej adresy IP, które chcesz zablokować, i kliknij przycisk „Dodaj”.
Powtórz proces, aby zablokować inne podejrzane adresy IP, które chcesz.
To wszystko! Pomyślnie zablokowałeś podejrzane adresy IP przed całkowitym dostępem do Twojej strony internetowej.
Później, jeśli będziesz musiał odblokować jeden z tych adresów IP, możesz to zrobić z aplikacji blokującej adresy IP.
3. Ochrona logowania do WordPressa za pomocą zapory sieciowej
Jako administrator strony internetowej możesz nie chcieć poświęcać zbyt wiele czasu na zarządzanie adresami IP, które mogą uzyskać dostęp do Twojej strony logowania WordPress.
Najprostszym sposobem na ochronę stron logowania WordPress jest użycie Sucuri. Jest to najlepsza zapora sieciowa WordPress, która zawiera kompleksową wtyczkę zabezpieczeń WordPress.
Zapora sieciowa Sucuri automatycznie filtruje podejrzane adresy IP, uniemożliwiając im dostęp do ważnych plików rdzenia WordPress, zanim jeszcze dotrą do Twojej strony internetowej.
Ta metoda poprawia również wydajność i szybkość Twojego WordPress, ponieważ blokuje podejrzane działania spowalniające działanie serwera.
Co więcej, Sucuri posiada również wbudowaną sieć CDN. Automatycznie serwowałaby pliki statyczne, takie jak obrazy, arkusze stylów i JavaScript z serwera bliżej Twoich użytkowników.
Możesz łatwo dodać do białej listy adresy IP użytkowników, jeśli mają oni problemy z dostępem do stron logowania WordPress.
Alternatywy: MalCare lub Cloudflare Free CDN
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak ograniczyć dostęp do pliku wp-login.php za pomocą adresu IP. Możesz również zapoznać się z naszym kompletnym przewodnikiem po bezpieczeństwie WordPress lub zapoznać się z dodatkowymi wskazówkami dotyczącymi ochrony obszaru administracyjnego WordPress.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Olaf
Wszystko w WordPressie opiera się na bezpieczeństwie strony internetowej i od niego zależy. Niedocenianie go może prowadzić do poważnych problemów w dłuższej perspektywie. Te dyrektywy działają doskonale, a wdrożenie tego typu zabezpieczeń zajmuje tylko chwilę. Doceniam, że jesteś dokładny, nie tylko dodając poprawne dyrektywy do .htaccess, ale także ucząc użytkowników od samego początku, jak prawidłowo komentować ręcznie dodane wpisy. Pomaga to każdemu, kto przejmuje stronę, zrozumieć te dyrektywy. Niewiele poradników jest tak skrupulatnych, poświęcających czas na zapewnienie prawidłowego komentowania w .htaccess.
Jiří Vaněk
Skopiowałem dyrektywy na stronę internetową, dostosowałem adresy IP i umieściłem je w pliku .htaccess. Działa idealnie dla obu adresów IP, które są teraz ustawione w .htaccess.
Av
w odniesieniu do strony woocommerce, czy ta funkcja jest przydatna?
logowanie można wykonać ze strony moje konto.
Wsparcie WPBeginner
Jeśli masz wielu użytkowników logujących się na Twojej stronie, na przykład w przypadku WooCommerce, to nie jest coś, czego byś używał. Zazwyczaj byłoby to dla strony z ograniczoną liczbą użytkowników.
Admin
Michael Pepper
Dzięki za artykuł, pomocny!
Wsparcie WPBeginner
Glad our article was helpful
Admin
Mick
Z jakiegoś powodu, kiedy używam tego, zablokowany jest również biały adres IP.
masz jakiś pomysł dlaczego?
Wsparcie WPBeginner
Możesz chcieć upewnić się, że ustawiłeś prawidłowy adres IP, a jeśli używasz VPN lub czegoś podobnego, może to być przyczyną problemu.
Admin
Bahar Ali
Użyłem powyższego kodu i w jakiś sposób stosuje się on do każdej strony w witrynie, na przykład moja strona główna również wyświetla komunikat o zakazie.
Wsparcie WPBeginner
Możesz najpierw skontaktować się ze swoim dostawcą hostingu, aby upewnić się, że po ich stronie nie ma konfliktu.
Admin
Unni Krishnan
Dobra robota, chłopaki,
Jak wspomnieliście w ostatniej sekcji, mam dynamiczne adresy IP dla mojego połączenia mobilnego. Chociaż dodałem mój adres IP szerokopasmowy do białej listy, utknąłem podczas dostępu w podróży.
Czy wiecie, czy jakieś wtyczki pomagają rozwiązać ten problem?
Unni Krishnan
Również takie żądania do wp-login.php są przekierowywane na stronę główną. Czy to normalne?
FrancescoElzy
Hmm, wygląda na to, że Twój blog zjadł mój pierwszy komentarz (był bardzo długi), więc chyba podsumuję to, co napisałem i powiem, że bardzo podoba mi się Twój blog. Ja też jestem początkującym blogerem, ale wciąż jestem w tym nowy. Czy masz jakieś pomocne wskazówki dla początkujących pisarzy blogów? Byłbym naprawdę wdzięczny.
Stéfano Willig
Udostępniliśmy nasz dostęp ftp tylko dla określonych adresów IP.
Teraz nie mogę instalować ani aktualizować WordPressa bezpośrednio przez WordPressa...
Co mogę zrobić?
Jobbatam
Świetne wskazówki i działają dla mnie.
Ale, czy mogę przekierować wp-login na błąd 404?
Jeśli tak, jaki kod mam dodać do powyższego kodu?
dzięki
MargaretMacnamar
Jest bardzo proste, aby dowiedzieć się o każdej sprawie w sieci w porównaniu do podręczników, ponieważ znalazłem ten post na tej stronie.
EQHRaymond
Dziękuję za tę funkcję. Post bardzo mi pomógł
Rex Wickham
Jeśli chcesz dodać więcej niż jeden adres IP, możesz to zrobić:
1. możesz użyć częściowego adresu IP:
Zezwól z 145.50.39
Pozwoli to na adresy IP od 145.50.39.0 do 145.50.39.255
2. możesz użyć maski sieciowej lub CIDR:
Zezwól z 145.50.39.0/255.255.255.224
lub
Zezwól z 145.50.39.0/27
Pozwoli to na dostęp IP z zakresu od 145.50.39.0 do 145.50.39.31.
Julius Musembi
To świetne obejście problemu.
David Swanson
Dodałem kod do mojego .htaccess, ale kiedy moi użytkownicy się wylogowują, otrzymują błąd 403.
Kiedy klikają wyloguj, link to /wp-login.php?action=logout
Czy jest jakiś sposób, aby to naprawić?
Brijesh
Świetna wskazówka! Ale mam problem. Blokuje logowanie administratora z innych adresów IP, ale jeśli zarejestrowany użytkownik wyloguje się ze strony, kod również go blokuje. Mam na myśli, że po kliknięciu wyloguj, pojawia się komunikat o zakazie.
Rafaqat
Dziękuję za szybkie wskazówki dotyczące ochrony przed nadmiernymi i nielegalnymi próbami logowania. W rzeczywistości istnieje darmowy plugin „better wp security”, który może zarządzać prawie wszystkimi problemami związanymi z bezpieczeństwem, próbami logowania, plikiem wp.config, plikiem .htaccess i wieloma innymi. Myślę, że warto go wypróbować.
Kris
Aby obejść problem dynamicznego adresu IP, możesz odwołać się do pliku htpasswd.
Baptiste Legrand
Dziękuję za tę świetną wskazówkę! Ale jestem trochę zdezorientowany: czy powinienem wkleić ten fragment do mojego głównego pliku .htaccess, czy do mojego pliku wordpress/.htaccess?
Pozdrawiam (i tak, uwielbiam wpbegginer.com, trzymajcie dobrą robotę!)
Personel redakcyjny
Wklej go do swojego wordpress/.htaccess
Admin
Personel redakcyjny
Z dynamicznymi adresami IP może to być uciążliwe. Możesz włączyć Apache Protect, ale jest to nieco bardziej skomplikowane. Linia #whitelist służy tylko do informowania mnie, który adres IP jest który.
Admin
Steve Pringle
Powinieneś wspomnieć, że wtyczki (takie jak JetPack) mogą mieć problemy, gdy ograniczasz dostęp.