Vill du begränsa åtkomsten till din wp-login.php-fil i WordPress via IP-adress?
WordPress-inloggningssidan attackeras ofta av DDoS-attacker och hackare för att få tillgång till din webbplats. Att begränsa åtkomsten till specifika IP-adresser kan effektivt blockera sådana försök.
I den här artikeln visar vi hur du enkelt begränsar åtkomsten via IP till din wp-login.php-fil i WordPress.
Varför begränsa åtkomst till wp-login.php efter IP-adress?
Inloggningssidan för en WordPress-webbplats (vanligtvis wp-login.php), är där användare går för att logga in på din webbplats.
Som webbplatsägare ger det dig åtkomst till WordPress adminområde där du kan utföra webbplatsunderhåll, skriva innehåll och hantera din webbplats.
Vanliga brute force-attacker på internet är dock kända för att rikta sig mot wp-login.php-sidan för att få åtkomst till webbplatser. Även om de misslyckas med att komma in, kan de fortfarande sakta ner din webbplats eller till och med krascha den.
Ett sätt att hantera den här situationen är att blockera IP-adresserna där attackerna kommer ifrån (vi kommer att prata om detta senare i artikeln).
En IP-adress är som ett telefonnummer som identifierar en specifik dator på internet. Hackare kan använda programvara för att ändra sina IP-adresser.
Mer sofistikerade attacker använder dock en större pool av IP-adresser och det kanske inte är möjligt att blockera alla av dem.
I så fall kan du begränsa åtkomsten till specifika IP-adresser som används av dig själv och andra användare på din webbplats.
Med det sagt, låt oss titta på hur man enkelt begränsar åtkomsten till wp-login.php-filen med specifika IP-adresser med hjälp av 3 olika metoder, inklusive molnsäkerhetsbrandvägg.
1. Begränsa åtkomst till WordPress inloggningssida efter IP-adress
För den här metoden behöver du lägga till lite kod i .htaccess-filen.
.htaccess-filen är en speciell serverkonfigurationsfil som finns i webbplatsens rotmapp och kan nås med FTP eller File Manager-appen på din WordPress-värdkontrollpanel.
Anslut helt enkelt till din WordPress-webbplats med en FTP-klient och redigera din .htaccess-fil genom att lägga till följande kod högst upp.
<Files wp-login.php>
order deny,allow
Deny from all
# whitelist Your own IP address
allow from xx.xxx.xx.xx
#whitelist some other user's IP Address
allow from xx.xxx.xx.xx
</Files>
Glöm inte att ersätta XX med dina egna IP-adresser. Du kan enkelt hitta din IP-adress genom att besöka SupportAlly-sidan.
Om du har andra användare som också behöver logga in på din webbplats, kan du be dem att ange sina IP-adresser. Du kan sedan lägga till dessa i .htaccess-filen också.
Här är ett annat exempel på ovanstående kod.
<Files wp-login.php>
order deny,allow
Deny from all
# Whitelist John as website administrator
allow from 35.199.128.0
#Whitelist Tina as Editor
allow from 108.59.80.0
# Whitelist Ali as moderator
allow from 216.239.32.0
</Files>
Nu kommer användare med dessa IP-adresser att kunna visa wp-login.php-filen och logga in på din webbplats. Andra användare kommer att se följande felmeddelande:
2. Blockera specifika IP-adresser från att komma åt din webbplats
Denna metod är helt motsatsen till den första metoden.
Istället för att begränsa åtkomsten till WordPress inloggningssida till specifika IP-adresser, kommer du att kunna blockera IP-adresser som används för att attackera din webbplats.
Denna metod är särskilt användbar för WordPress medlemskap webbplatser, e-handelsbutiker, eller andra webbplatser där flera användare behöver logga in för att komma åt sina konton.
Nackdelen med denna metod är att hackare kan ändra sina IP-adresser och fortsätta att attackera din webbplats.
Lyckligtvis använder många av de vanliga WordPress-hackningsförsöken en fast uppsättning IP-adresser, vilket gör denna metod effektiv i de flesta fall.
Steg 1: Hitta de IP-adresser du vill blockera
Först måste du hitta de IP-adresser som används för att attackera din webbplats.
Det enklaste sättet att hitta de skyldiga IP-adresserna är genom att titta i dina serverloggar. Gå helt enkelt till ditt webbhotells kontrollpanel och klicka på ikonen för 'Råa åtkomstloggar'.
På nästa sida, klicka på ditt domännamn för att ladda ner åtkomstloggarna. Detta laddar ner en fil med .gz-tillägg.
Du måste extrahera filen och öppna den med en textredigerare som Anteckningar eller TextEdit.
Här hittar du IP-adresserna som upprepade gånger träffar wp-login.php-sidan.
Kopiera och klistra in IP-adresserna i en separat textfil på din dator.
Steg 2. Blockera misstänkta IP-adresser
Därefter måste du logga in på ditt WordPress-värdkontrollpanel och klicka på ikonen 'IP Blocker'.
På nästa skärm, kopiera och klistra helt enkelt in de IP-adresser du vill blockera och klicka på knappen 'Lägg till'.
Upprepa processen för att blockera alla andra misstänkta IP-adresser du vill.
Det var allt! Du har framgångsrikt blockerat misstänkta IP-adresser från att komma åt din webbplats helt.
Senare, om du behöver blockera en av dessa IP-adresser, kan du enkelt göra det från IP-blockeringsappen.
3. Skydda WordPress-inloggning med webbplatsbrandvägg
Som webbplatsadministratör kanske du inte vill spendera för mycket tid på att hantera IP-adresser som kan komma åt din WordPress inloggningssida.
Det enklaste sättet att skydda dina WordPress-inloggningssidor är att använda Sucuri. Det är den bästa WordPress-brandväggen som medföljer ett omfattande WordPress-säkerhetsplugin.
Sucuris webbplatsbrandvägg filtrerar automatiskt misstänkta IP-adresser från att komma åt viktiga WordPress-kärnfiler utan att de någonsin når din webbplats.
Denna metod förbättrar också din WordPress prestanda och hastighet eftersom den blockerar misstänkta aktiviteter från att sakta ner din server.
Dessutom kommer Sucuri med ett inbyggt CDN-nätverk. Det skulle automatiskt leverera statiska filer som bilder, stylesheets och JavaScript från en server närmare dina användare.
Du kan enkelt vitlista användares IP-adresser om de inte kan komma åt WordPress inloggningssidor.
Alternativ: MalCare eller Cloudflare Free CDN
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du begränsar åtkomsten via IP-adress till din wp-login.php-fil. Du kanske också vill se vår kompletta WordPress-säkerhetsguide eller se dessa ytterligare tips för att skydda WordPress-adminområdet.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Olaf
Allt i WordPress stiger och faller med webbplatssäkerhet. Att underskatta den kan leda till allvarliga problem över tid. Dessa direktiv fungerar perfekt, och att implementera denna typ av säkerhet tar bara ett ögonblick. Jag uppskattar att du är noggrann, inte bara genom att lägga till de korrekta direktiven i .htaccess utan också genom att lära användarna från början att korrekt kommentera manuellt tillagda poster. Detta hjälper alla som tar över webbplatsen att förstå dessa direktiv. Få handledningar är så noggranna och tar sig tid att säkerställa korrekt kommentering i .htaccess.
Jiří Vaněk
Jag kopierade direktiven till webbplatsen, justerade IP-adresserna och placerade dem i .htaccess-filen. Det fungerar perfekt för båda IP-adresserna som nu är inställda i .htaccess.
Av
angående en woocommerce-sida, är denna funktion användbar?
inloggning kan göras från sidan Mitt konto.
WPBeginner Support
Om du har flera användare som loggar in på din webbplats för något som WooCommerce, då är detta inte något du skulle använda. Detta skulle normalt vara för en webbplats med ett begränsat antal användare.
Admin
Michael Pepper
Tack för artikeln, hjälpsam!
WPBeginner Support
Glad our article was helpful
Admin
Mick
Av någon anledning när jag använder detta blockeras även den vitlistade IP-adressen.
någon idé varför?
WPBeginner Support
Du kanske vill se till att du ställer in rätt IP och om du använder en VPN eller liknande kan det vara orsaken till problemet
Admin
Bahar Ali
Jag använde koden ovan och den tillämpas på något sätt på varje sida på webbplatsen, till exempel min startsida visar också förbjudet.
WPBeginner Support
Du kanske först vill kontrollera med din hosting-leverantör för att säkerställa att det inte finns någon konflikterande konfiguration från deras sida.
Admin
Unni Krishnan
Bra jobbat grabbar,
Som ni angav i förra avsnittet har jag dynamiska IP-adresser för min mobila anslutning. Även om jag har vitlistat min bredbands-IP, fastnar jag när jag försöker komma åt den på språng.
Vet ni om några plugins kan hjälpa till att lösa detta?
Unni Krishnan
Dessutom omdirigeras sådana förfrågningar till wp-login.php till startsidan. Är detta normalt?
FrancescoElzy
Hmm, det verkar som om din blogg åt min första kommentar (den var super lång) så jag antar att jag bara kommer att sammanfatta vad jag skrev och säga, jag njuter verkligen av din blogg. Jag är också en blivande bloggare men jag är fortfarande ny på hela grejen. Har du några hjälpsamma tips för nya bloggskribenter? Jag skulle verkligen uppskatta det.
Stéfano Willig
Vi har gjort vår ftp åtkomlig endast via en viss IP.
Nu kan jag inte installera eller uppdatera WordPress direkt via WordPress...
Vad kan jag göra?
Jobbatam
Bra tips och fungerar för mig.
Men, kan jag omdirigera wp-login till fel 404?
Om ja, vilken kod ska jag lägga till i koden ovan?
tack
MargaretMacnamar
Det är mycket enkelt att ta reda på en fråga på nätet jämfört med läroböcker, eftersom jag hittade det här inlägget på den här webbplatsen.
EQHRaymond
Tack för funktionen. Inlägget hjälpte mig mycket
Rex Wickham
Om du vill lägga till mer än en IP kan du göra detta:
1. du kan använda en delvis IP:
Tillåt från 145.50.39
Detta tillåter IP från 145.50.39.0 till 145.50.39.255
2. du kan använda en nätmask eller en CIDR:
Tillåt från 145.50.39.0/255.255.255.224
eller
Tillåt från 145.50.39.0/27
Detta tillåter IP från 145.50.39.0 till 145.50.39.31.
Julius Musembi
Detta är en bra lösning.
David Swanson
Jag lade till koden i min .htaccess men när mina användare loggar ut får de fel 403.
När de klickar på logga ut är länken /wp-login.php?action=logout
Finns det något sätt att fixa detta?
Brijesh
Bra tips! Men jag har ett problem. Det låser admininloggning från andra IP-adresser, men om en registrerad användare loggar ut från webbplatsen, begränsar koden även det. Jag menar, när användaren klickar på logga ut, får den ett förbjudet meddelande. Hur löser jag det?
Rafaqat
Tack för din snabba vägledning för att skydda dig mot överdrivna och olagliga inloggningsförsök. Faktum är att det finns ett gratis plugin "better wp security" som kan hantera nästan alla säkerhetsproblem gällande inloggningsförsök, wp.config-filen, .htaccess-filen och mycket mer. Jag tror att man borde ge det ett försök.
Kris
För att komma runt problemet med dynamiska IP-adresser kan du referera till en htpasswd.
Baptiste Legrand
Tack för det här utmärkta tipset! Men jag är lite förvirrad: ska jag klistra in det här kodavsnittet i min root .htacess-fil, eller i min wordpress/.htaccess-fil?
Skål (och förresten, jag ÄLSKAR wpbegginer.com, fortsätt det goda arbetet!)
Redaktionell personal
Klistra in den i din wordpress/.htaccess
Admin
Redaktionell personal
Med dynamiska IP-adresser kan detta vara en plåga. Du kan ställa in Apache Protect på det, men det är lite mer komplicerat. #whitelist-raden är bara för att låta mig veta vilken IP som är vilken.
Admin
Steve Pringle
Du bör nämna att plugins (som JetPack) kan ha problem när du begränsar åtkomsten.