Blokkere wp-admin-mappen med htaccess

zapotek

Medlem
Med 40-50 hackerforsøk daglig har jeg laget følgende .htaccess-fil i wp-admin-mappen:


#Blokkere svinepelser

Order Deny,Allow
Deny from all
Allow from xx


Da jeg tildeles en dynamisk ip-adresse, bruker jeg kun de to første sifrene siden disse aldri skifter.

Finnes det noen ulemper med å beskytte hele mappen på denne måten? Brukes f.eks. noen filer fra denne mappen for å vise siden for "vanlige" brukere?
 
A

aabbcc

Guest
God ide!
Litt på tynn is nå, men kan et alternativ være å bruke htpasswd? Da må man logge inn dobbelt, men man får tilgang uansett hvor man er.. Jeg vurderer å legge inn noe ekstra sikkerhet selv, føler meg ikke 100% trygg slik det er idag.

abc
 

zapotek

Medlem
God ide!
Litt på tynn is nå, men kan et alternativ være å bruke htpasswd? Da må man logge inn dobbelt, men man får tilgang uansett hvor man er.. Jeg vurderer å legge inn noe ekstra sikkerhet selv, føler meg ikke 100% trygg slik det er idag.

abc

Det skulle jo egentlig ikke være nødvendig dersom min metode stopper dem før de kommer så langt som å taste inn passordet.
 
A

aabbcc

Guest
Det skulle jo egentlig ikke være nødvendig dersom min metode stopper dem før de kommer så langt som å taste inn passordet.

Det kommer vel litt an på om man vil ha muligheten til å logge på fra andre steder, eller er det noe jeg har misforstått?
 

zapotek

Medlem
Det kommer vel litt an på om man vil ha muligheten til å logge på fra andre steder, eller er det noe jeg har misforstått?

Da er selvsagt saken en annen. Eventuelt, dersom du vet ip-adressen du bruker andre steder, kan du tillate disse også.
 
A

aabbcc

Guest
Da er selvsagt saken en annen. Eventuelt, dersom du vet ip-adressen du bruker andre steder, kan du tillate disse også.

Nei den som visste det..

Jeg skal se om jeg får tid i løpet av helga til å legge inn htpasswd (det er så mye man har tenkt til å gjøre alltid). Tusen takk for at du delte dette Zapotek, veldig nyttig.

abc
 

zapotek

Medlem
Men tilbake til det jeg egentlig lurte på, finnes det noen ulemper med å beskytte hele mappen på denne måten? Brukes f.eks. noen filer fra denne mappen for å vise siden for "vanlige" brukere?
 

zapotek

Medlem
Ugh, bra jeg bruker bare grønnsåpe istedenfor Ajax når jeg vasker da. :eek:

Men fra spøk til revolver, det lenkes til denne siden for løsning på det problemet: Password protecting the wp-admin directory – jQuery , WordPress , ajax , howto , security , apache , lighttpd – Nicolas Kuttler

Her vises dog løsningen ved bruk av htpasswd, ikke blokkering basert på ip-adresse. Jeg er ingen racer på htaccess, så jeg hadde blitt en happy mann om noen kunne laget et eksempel med hvitelisting av "Ajax handler script" og "/wp-admin/css/install.css" sammen med kodesnutten min i åpningsinnlegget.

Her snakker vi massive ryktepoeng med strøsukker på toppen i premie :D
 
Sist redigert:

zapotek

Medlem
Forøvrig har jeg støtt på et mysterium i 3 akter når det gjelder dette....

Blokkeringen fungerer ikke på andre enn meg!

Jeg gjorde en test i går kveld:

Først lastet jeg opp htaccess slik at den sperret alle unntatt min IP-adresse. Etterpå klarte jeg å logge inn via adminpanelet.

Deretter gjorde jeg en endring slik at den sperret alle unntatt en annen IP-adresse (jeg endret et av sifrene). Etterpå klarte jeg ikke å logge inn via adminpanelet.

Alt så dermed ut til å virke slik jeg hadde håpet.

Så kommer det merksnodige: Idag har Limit Login Attempts sendt meg en bråte beskjeder om diverse IP-er som har forsøkt å komme seg inn (uten å taste inn korrekt passord selvsagt)?!?!?!?! De har altså kommet forbi blokkeringene i htaccess på et eller annet vis.

Noen som har en logisk forklaring på dette?
 
A

aabbcc

Guest
Kan det være at de går rett til fila wp-login.php som vel ligger rett på root?

abc
 
A

aabbcc

Guest
Legg inn noe sånt i htaccessfila på root kanskje?

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xx
</Files>
 
Topp