WPBeginner - WordPress-handledningar för nybörjare

Pålitliga WordPress-handledningar, när du behöver dem som mest.
Nybörjarguide till WordPress
WPB Cup
25 miljoner+
Webbplatser som använder våra plugins
16+
År av WordPress-erfarenhet
3000+
WordPress-handledningar
av experter

Hur man begränsar WordPress adminåtkomst efter IP-adress

Av Editorial Staff | | Läsardisclosure

Shares 28 ChatGPT Perplexity X LinkedIn WhatsApp

De flesta tänker inte på att säkra sitt WordPress-adminområde förrän det är för sent. Vi har hjälpt användare att återhämta sig från attacker där WordPress-adminområdet lämnades helt öppet.

Det är därför vi rekommenderar att begränsa åtkomsten till adminområdet via IP. Det är en teknik vi har använt på kundwebbplatser som bara behöver en eller två personer som loggar in från kända nätverk.

I den här handledningen visar vi hur du blockerar åtkomst till WordPress-admin med en snabb redigering av .htaccess-filen. Det är ett enkelt men mycket effektivt sätt att skydda din WordPress-webbplats mot vanliga hot.

Hur man begränsar WordPress adminåtkomst efter IP-adress

Varför begränsa åtkomsten till WordPress-administrationen via IP-adress?

Om du driver en WordPress-webbplats, då behöver du ta din webbplatsens säkerhet på allvar. Även om WordPress kärnprogramvara är mycket säker, finns det mer du kan göra för att skydda dig mot hackare och brute force-attacker.

Hackare kan slå ut din webbplats, samt skada din intäkt och ditt rykte. De kan stjäla data eller till och med distribuera skadlig kod till dina webbplatsbesökare och få din domän svartlistad av Google och andra.

Ett smart sätt att blockera hackare och förbättra WordPress-säkerheten är att skydda ditt WordPress-adminområde från obehörig åtkomst.

Om bara du eller några få betrodda användare behöver åtkomst till adminområdet, är ett bra sätt att göra det att begränsa åtkomsten till wp-admin och WordPress inloggningssida till ditt teams IP-adresser.

Varje teammedlem kommer att ansluta till din WordPress-webbplats med en specifik IP-adress för varje plats. Om du blockerar åtkomst till alla andra IP-adresser, kan en hacker inte komma åt din webbplats även om de har upptäckt ditt användarnamn och lösenord.

Istället kommer de att se felmeddelandet: 'Förbjudet. Du har inte behörighet att komma åt den här resursen.'

Låt oss titta på hur man begränsar åtkomsten till WordPress-admin via IP-adress.

Hur man begränsar WordPress adminåtkomst efter IP-adress

Det första du behöver göra är att skapa en lista över IP-adresserna som används av alla i ditt team som behöver åtkomst till WordPress-administrationsområdet.

Du behöver be dina teammedlemmar att skicka dig deras IP-adresser från de platser de vanligtvis arbetar ifrån. Om någon arbetar från flera platser, då behöver du samla in IP-adressen för var och en av dem.

Du måste också lägga till din IP-adress i listan.

Hur hittar jag min IP-adress?

Det enklaste sättet att hitta din IP-adress är att besöka en webbplats som SupportAlly eller WhatisMyIPAddress.com.

Hitta din IP-adress

Dessa webbplatser visar din IP-adress, som du sedan kan lägga till i din lista. Du kan också be dina teammedlemmar att besöka dessa webbplatser för att hitta sin IP-adress och skicka den tillbaka till dig.

När du har gjort din lista kan du fortsätta med att begränsa åtkomst via IP-adresser. Vi visar dig två metoder så att du kan välja en som fungerar för dig.

🚨 Viktigt meddelande: I följande avsnitt visar vi hur du ändrar viktiga filer för att begränsa administratörsåtkomst. Detta kan vara riskabelt, även för avancerade användare, eftersom även det minsta fel kan krascha din webbplats eller påverka dess funktionalitet. Därför rekommenderar vi alltid att du skapar en säkerhetskopia först.

1. Begränsa åtkomst med IP-adress med hjälp av .htaccess-fil (rekommenderas)

För den här metoden kommer vi att använda .htaccess-filen. Det är en serverkonfigurationsfil som du kan redigera för att ställa in olika saker.

Den körs innan din WordPress-webbplats ens laddas, vilket är anledningen till att lägga till säkerhetsinstruktioner där ger dig mycket bättre skydd.

Du måste använda en FTP-klient eller din webbhotells filhanterare. Om du inte har använt FTP tidigare, kanske du vill se vår guide om hur man använder FTP för att ladda upp filer till WordPress.

Du behöver använda programvaran för att navigera till din webbplats mapp /wp-admin/. När du är där bör du leta efter filen .htaccess. Detta är en dold fil, så om du inte kan se den kan du behöva aktivera alternativet visa dolda filer i din programvara.

Navigera till wp-admin och hitta .htaccess

Om den filen inte finns i mappen, bör du skapa en ny fil och spara den med namnet .htaccess i din /wp-admin/-mapp.

Varning ⚠️: Redigera inte din root .htaccess-fil, annars kommer du att låsa besökare ute från din webbplats framsida! Se till att du redigerar /wp-admin/.htaccess.

Du bör först ladda ner en kopia av filen till din dator som en säkerhetskopia.

När du har gjort det måste du redigera .htaccess och klistra in följande kod i filen:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<Limit GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>

Fortsätt och redigera filen så att den matchar namnen på dina egna teammedlemmar, och klistra sedan in IP-adresserna du samlade tidigare för att ersätta där det står xx.xx.xx.xxx.

När du har sparat filen kommer endast de IP-adresserna att kunna komma åt WordPress-administratören.

Kom ihåg att om din IP-adress ändras eller om du försöker komma åt din webbplats från en ny plats, kommer du att låsas ute från ditt WordPress-adminområde. Du måste lägga till din nya IP-adress i filen /wp-admin/.htaccess .

2. Begränsa åtkomst med wp-config.php (alternativ metod)

Om din server inte stöder .htaccess-regler eller om du kör WordPress på en annan server än Apache, som NGINX eller LiteSpeed, då är användningen av filen wp-config.php ett bra alternativ.

Att redigera wp-config.php kan vara säkrare än att modifiera .htaccess eftersom det är mindre troligt att det orsakar serverfel och är lätt att återställa vid behov. Med det sagt, du måste fortfarande göra ändringar noggrant eftersom även mindre fel kan krascha din webbplats.

wp-config.php-filen laddas tidigt under WordPress startprocess, vilket gör den till en säker plats att tillämpa begränsningar. Den är särskilt användbar för utvecklare eller avancerade användare som hanterar webbplatser i olika servermiljöer.

För att använda den här metoden, öppna din wp-config.php-fil med en FTP-klient eller din värdkontrollpanels filhanterare. Lägg sedan till följande kod precis ovanför raden som säger /* Det var allt, sluta redigera! Lycka till med bloggandet. */:

if (strpos($_SERVER['REQUEST_URI'], '/wp-admin') !== false || 
    strpos($_SERVER['REQUEST_URI'], '/wp-login.php') !== false) {
    if ($_SERVER['REMOTE_ADDR'] !== '123.456.78.90') {
        header('HTTP/1.0 403 Forbidden');
        exit;
    }
}
Hosted with ❤️ by WPCode
1-click Use in WordPress

Ersätt 123.456.78.90 med din nuvarande IP-adress. Den här koden blockerar all åtkomst till dina WordPress-administrations- och inloggningssidor förutom från din tillåtna IP.

Lägga till flera IP-adresser:

För att lägga till andra teammedlemmar behöver du använda en annan kod istället. I den här koden använder du en array av IP-adresser för olika teammedlemmar separerade med kommatecken. Som detta:

$allowed_ips = array('123.456.789.000', '987.654.321.000', '200.200.255.168'); // Add more IPs as necessary
if ( !in_array($_SERVER['REMOTE_ADDR'], $allowed_ips) ) {
    wp_die('Unauthorized access. Your IP address is not permitted.');
}
Hosted with ❤️ by WPCode
1-click Use in WordPress

Varning⚠️: Om din IP-adress ändras ofta eller om du arbetar från flera nätverk kan den här metoden låsa dig ute. Gör alltid en säkerhetskopia innan du gör ändringar i wp-config.php.

Hantera dynamiska IP-adresser eller flera teammedlemmar

Om din IP-adress ändras ofta eller om ditt team arbetar från olika nätverk, kanske IP-baserade begränsningar i .htaccess eller wp-config.php inte är praktiska. Dessa metoder fungerar bäst när åtkomsten är begränsad till en fast IP eller plats.

För mer flexibel säkerhet kan du använda alternativa metoder som listas nedan:

1. Lägg till tvåfaktorsautentisering (2FA)

Att lägga till tvåfaktorsautentisering innebär att användare måste ange både sitt lösenord och en engångskod från sin telefon för att logga in. Detta förhindrar angripare från att komma åt din webbplats även om de känner till ditt lösenord.

För att lära dig mer, se vår steg-för-steg-guide om hur man lägger till tvåfaktorsautentisering i WordPress.

Användare måste ange en autentiseringskod innan de loggar in

2. Lösenordsskydda din adminmapp

Detta tillvägagångssätt lägger till ytterligare ett säkerhetslager innan användare ens kan nå WordPress inloggningsskärm. När någon försöker besöka /wp-admin/ måste de först ange ett användarnamn och lösenord på servernivå som du har ställt in.

Lösenordsskyddat WordPress-administratörsområde

Detta hjälper till att blockera bots och angripare från att försöka gissa dina WordPress-inloggningsuppgifter. För detaljer, se vår handledning om hur man lösenordsskyddar din WordPress adminmapp.

Vanliga frågor

Vad händer om min IP-adress ändras?

Om du använder IP-begränsningar i .htaccess eller wp-config.php och din IP ändras, kommer du att bli utelåst från ditt adminområde. För att återfå åtkomst måste du uppdatera den tillåtna IP-adressen via FTP eller din värdkontrollpanel.

Kan jag tillåta åtkomst från flera IP-adresser?

Ja. Du kan lista flera IP-adresser i dina .htaccess- eller wp-config.php-regler. Var och en bör läggas till som en separat Allow from-rad eller if-villkor, beroende på vilken metod du använder.

Vad händer om jag använder en mobil hotspot eller VPN?

Mobila hotspots och VPN använder ofta dynamiska IP-adresser, som kan ändras ofta. I det här fallet rekommenderar vi att du aktiverar tvåfaktorsautentisering eller lösenordsskyddar din adminmapp för mer flexibelt skydd.

Fler säkerhetstips för WordPress

Att begränsa åtkomsten till ditt adminområde är ett smart drag, men det är bara en del av pusslet. Här är fler användbara handledningar för att stärka din webbplats säkerhet och lära dig mer om .htaccess-funktioner.

Vi hoppas att den här handledningen hjälpte dig att lära dig hur du begränsar WordPress adminåtkomst efter IP-adress. Du kanske också vill se vår WordPress-handledning om hur man begränsar författare till sina egna inlägg i WordPress admin, eller vad man ska göra när man är utelåst från WordPress admin.

Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.

Populärt på WPBeginner Just nu!

Upplysning: Vårt innehåll stöds av läsarna. Det innebär att om du klickar på några av våra länkar kan vi tjäna en provision. Se hur WPBeginner finansieras, varför det är viktigt och hur du kan stödja oss. Här är vår redaktionella process.

Det ultimata WordPress-verktyget

Få GRATIS tillgång till vår verktygslåda - en samling WordPress-relaterade produkter och resurser som alla proffs bör ha!

Ladda ner nu

Läsarnas interaktioner

48 CommentsLeave a Reply

  1. detta är användbart men jag vill bara veta om dynamisk IP-adress och statisk IP-adress för en WordPress-webbplats, vad är det föredragna sättet att ställa in IP-adressen om WordPress hanteras i ett hemnätverk mestadels? Och om och när jag använder ett säkerhetsplugin ser jag att IP-adressen ändras?

    Reply

  2. Är det möjligt att tillåta åtkomst till administrationsområdet från ett helt nätverksområde med hjälp av htaccess-filen? Jag menar, inte bara från enskilda IP-adresser utan från hela intervallet av ett nätverk. Det skulle vara komplicerat för mig att lista alla IP-adresser, och det skulle vara mycket enklare för mig att konfigurera hela nätverket, men jag är inte säker på om detta är möjligt med htaccess.

    Reply

    • Om alla IP-adresser finns på ett nätverk kan du använda en delvis IP-adress, men vi skulle ändå rekommendera en fullständig IP-adress för varje användare.

      Reply

      Admin

      • Tack för bekräftelsen och för rådet. Det kommer att vara flera IP-adresser inblandade, så jag är inte säker på om underhållet blir komplicerat, men ändå uppskattar jag din rekommendation och kommer att överväga den seriöst eftersom jag tror att ditt råd är motiverat. Som du kan se är det ibland bra att konsultera proffs.

        Reply

    • Du skulle behöva ha din FTP eller filhanterare inställd på att visa dolda filer om du inte ser den.

      Reply

      Admin

    • Det finns flera metoder för att hitta din IP-adress, en av de enklaste skulle vara att använda en webbplats som supportally.com

      Reply

      Admin

  5. Du måste aktivera
    modulen authz_groupfile
    "sudo a2enmod authz_groupfile"
    och starta om apache

    Reply

  6. Fungerar inte för mig. Koden begränsar admin att få åtkomst även om jag lägger till IP:n i en vitlista.

    Reply

  7. Efter denna rad måste du infoga ett villkor för tillstånd att tillåta php-filer för att förhindra konflikter:

    tillåt från alla

    Reply

  8. Jag provade metoden med .htaccess-lösenordsskydd.

    Det fungerar, men jag provade det på en webbplats med Woocommerce, men då kunde mina kunder inte logga in.

    Säger bara det eftersom det verkar som att ingen har nämnt att det inte fungerar med webbplatser som kräver att kunder loggar in!

    Reply

  9. Hej, tack för handledningen. Tyvärr har jag inte kunnat få den här .htaccess-filen att fungera korrekt eftersom den nekar åtkomst till den enda IP-adress jag inkluderade, min egen… Jag är säker på att jag kopierade din kod exakt och jag skrev min IP korrekt. .htaccess-filen sparades under: /wp-admin/.htaccess

    Missar jag något? Tack

    Reply

    • Hej Miguel,

      Försök att lägga till 127.0.0.1 istället för din IP-adress

      Det är din lokala IP-adress. Om det inte räcker att lägga till IP-adressen ensam, lägg då till följande rad före ovanstående kod:

      Kräver lokal

      Reply

      Admin

  11. Hej alla,

    Jag har blockerat wp-admin med .htaccess som nämnts i den här artikeln. Men jag har ett problem att min admin-ajax-fil också begränsas på den publika webbplatsen.

    Mitt WordPress-tema använder mycket av admin ajax-funktionaliteten och jag har lagt IP-begränsningen på wp-admin-mappen så att den inte är tillgänglig för alla IP-adresser.

    Hittar någon lösningen på detta? Om så är fallet, dela gärna med dig.

    Tack på förhand
    Emaan

    Reply

  12. Hej, det här verkar verkligen vara till hjälp. Kanske du kan hjälpa mig. Istället för att vitlista en IP-adress, kan vi tillåta åtkomst för specifika länder i .htaccess-filen? Jag hoppas du kan hjälpa mig. Tack så mycket.

    Reply

  14. Hej, Detta fungerar. Jag kontrollerade och är "förbjuden" att logga in på någon annan dator. Jag kan inte ens se inloggningspanelen. Jag får dock fortfarande cirka 24 misslyckade inloggningsförsök per dag från olika IP-adresser. Några idéer om hur de kringgår detta? Är det någon form av brute force-attack? Tack, Scott.

    Reply

      • Tack. Din webbplats har varit mycket hjälpsam. Om du har en stund kanske du kan svara på en fråga till. Jag följde dina handledningar – och de fungerade. Jag blockerade åtkomst till min adminmapp med htaccess och lade till ett lösenord ovanpå det. Jag testade och även om folk skulle bryta lösenordet, vilket de inte har gjort, skulle de inte ha tillgång till mappen från någon IP-adress utom min. Dock får jag fortfarande cirka 12 misslyckade inloggningar per dag. Några idéer om vad som händer och vart jag ska vända mig för att fixa det? Jag blev hackad en gång, men rensade filerna ur min uppladdningsmapp.

        Reply

  15. Och hur tillåter man åtkomst endast till WordPress-administratören? Vilken kod ska jag skriva utan någon IP? Jag behöver bara veta en generell funktion som hämtar adminrelaterad information. Eftersom jag måste begränsa mina plugin-uppladdningar från andra användare. Och vem som än använder detta plugin måste jag hämta dess admininformation för att begränsa innehåll från andra och endast tillåta webbplatsens administratör.

    Reply

  17. Jag provade detta (efter att tidigare ha lösenordsskyddat min wp-admin-katalog och åtgärdat omdirigeringsfelet enligt din andra artikel), men då får jag en popup som frågar efter ett användarnamn och lösenord för "WordPress Admin Access Control". Vilket användarnamn och lösenord ska jag använda för denna nya popup? Varken wordpress admin-inloggningen eller wp-admin-kataloginloggningen fungerar för den.
    Tack!

    Reply

    • Åh, jag tror jag löste problemet; det verkar fungera så länge jag ser till att den tillagda koden är allra först.

      Reply

  18. I have a big problem :(

    I did what you said about creating the .htaccess and putting in the code snippet. It didn’t work so I deleted the .htaccess file and now I can’t login to my dashboard! It’s just a white screen :( Please help!!!

    Tack

    Reply

      • Allt jag gjorde var att skapa filen i min wp-admin-mapp och när det inte fungerade tog jag bort den från wp-admin-mappen. Jag är inte säker på vad som hände men, efter en galen kaninhåla och många chansningar, kunde jag korrigera problemet genom att lägga till i början av min login.php-fil. Jag vet fortfarande inte vad som gick fel eller varför det jag gjorde löste det... men åtminstone är det löst. Jag kanske försöker igen när jag känner mig modig.

        Reply

  20. Hej WPB, jag tror inte att det kommer att fungera i Pakistan eftersom varje gång vi återställer eller stänger av vår DSL-modem så ändras IP-adressen automatiskt. Om du har några andra tips, vänligen svara mig.
    Tack

    Reply

  23. hej, hur man gör .htaccess med dynamisk IP (icke-statisk IP)
    min IP ändras alltid xxx.xxx.xxx.12 xxx.xxx.xxx.453 xxx.xxx.xxx.076

    snälla hjälp...

    Reply

      • Du kan härda din WordPress-installation via .htaccess vitlistning även om du har en dynamisk IP-adress. Du kan vitlista ett intervall av IP-adresser med ett /24 eller /16 intervall. Även om detta tillåter mer åtkomst än om du alltid kände till IP-adressen du ville tillåta, förhindrar det fortfarande åtkomst från nästan hela internet.

        Lägg bara till /24 i slutet av tillåt-raden för att tillåta hela klass C-undernätet (256 IP-adresser), eller lägg till /16 för att tillåta hela intervallet på 65 536. Dvs.

        tillåt från xxx.xxx.xxx.0/24

        kommer att tillåta åtkomst till IP-adresser från xxx.xxx.xxx.0 – xxx.xxx.xxx.255. och

        tillåt från xxx.xxx.0.0/16

        kommer att tillåta åtkomst från IP-adresser från xxx.xxx.0.0 – xxx.xxx.255.255

        Reply

  24. Du säger att jag inte ska göra webbplatsens .htaccess-fil... varför är det så? För att du bara vill begränsa åtkomsten till /wp-admin-mappen?

    Så... om jag ville ha en WordPress-webbplats som hostas externt men används som en intern företagsresurs så att endast personer som använder IP-adresser från vårt företag kunde komma åt den... om jag skulle redigera .htaccess-filen i rotmappen för att endast tillåta IP-adresser från vår domän... skulle det fungera på samma sätt som din /wp-admin-fix, men för hela webbplatsen, korrekt?

    Reply

    • Ja Kyle, anledningen till att vi sa att du inte skulle lägga den här koden i rotfilen är att den då också skulle begränsa din webbplatsåtkomst till endast dessa IP-adresser. Men om du försöker skapa en webbplats som bara ditt företags personal kan komma åt, endast från jobbet, då vill du placera .htaccess-filen i rotmappen.

      Reply

      Admin

    • Kan jag begränsa åtkomst baserat på andra kriterier? Som att jag bara behöver min bärbara dator för att komma åt en viss mapp.. Jag kunde komma åt den var som helst så det skulle vara svårt att specificera en IP eftersom min internetåtkomst skulle baseras på DHCP. Finns det en unik identifierare för varje maskin eller något liknande som kan användas som kriterium?

      Reply

Lämna ett svar

Tack för att du väljer att lämna en kommentar. Tänk på att alla kommentarer modereras enligt vår kommentarspolicy, och din e-postadress kommer INTE att publiceras. Använd INTE nyckelord i namn fältet. Låt oss ha en personlig och meningsfull konversation.

Copyright © 2009 - 2025 WPBeginner LLC. Alla rättigheter förbehållna. WPBeginner® är ett registrerat varumärke.

Hanteras av Awesome Motive | WordPress-hosting av SiteGround

WordPress®-varumärket är immateriell egendom som tillhör WordPress Foundation. Användning av WordPress®-namn på denna webbplats är endast för identifieringsändamål och innebär inte ett godkännande från WordPress Foundation. WPBeginner är inte godkänt eller ägt av, eller anslutet till, WordPress Foundation.

Jag behöver hjälp med…

Populära sökningar:

Starta en blogg WordPress SEO WordPress-prestanda WordPress-fel WordPress-säkerhet Bygga en onlinebutik