Blokkere wp-admin-mappen med htaccess

[zapotek]

Med 40-50 hackerforsøk daglig har jeg laget følgende .htaccess-fil i wp-admin-mappen:

#Blokkere svinepelser

Order Deny,Allow
Deny from all
Allow from xx

Da jeg tildeles en dynamisk ip-adresse, bruker jeg kun de to første sifrene siden disse aldri skifter.

Finnes det noen ulemper med å beskytte hele mappen på denne måten? Brukes f.eks. noen filer fra denne mappen for å vise siden for "vanlige" brukere?

 

[Dan Åsen Hansen]

Interessant.

Hvis jeg også lager en slik htaccess i min wp-admin, men bruker hele ip-adressen min i "Allow from", da vil ingen andre enn meg komme inn der?

Mvh Dan

 

[aabbcc]

God ide!
Litt på tynn is nå, men kan et alternativ være å bruke htpasswd? Da må man logge inn dobbelt, men man får tilgang uansett hvor man er.. Jeg vurderer å legge inn noe ekstra sikkerhet selv, føler meg ikke 100% trygg slik det er idag.

abc

 

[zapotek]

God ide!
Litt på tynn is nå, men kan et alternativ være å bruke htpasswd? Da må man logge inn dobbelt, men man får tilgang uansett hvor man er.. Jeg vurderer å legge inn noe ekstra sikkerhet selv, føler meg ikke 100% trygg slik det er idag.

abc

Det skulle jo egentlig ikke være nødvendig dersom min metode stopper dem før de kommer så langt som å taste inn passordet.

 

[aabbcc]

Det skulle jo egentlig ikke være nødvendig dersom min metode stopper dem før de kommer så langt som å taste inn passordet.

Det kommer vel litt an på om man vil ha muligheten til å logge på fra andre steder, eller er det noe jeg har misforstått?

 

[zapotek]

Det kommer vel litt an på om man vil ha muligheten til å logge på fra andre steder, eller er det noe jeg har misforstått?

Da er selvsagt saken en annen. Eventuelt, dersom du vet ip-adressen du bruker andre steder, kan du tillate disse også.

 

[aabbcc]

Da er selvsagt saken en annen. Eventuelt, dersom du vet ip-adressen du bruker andre steder, kan du tillate disse også.

Nei den som visste det..

Jeg skal se om jeg får tid i løpet av helga til å legge inn htpasswd (det er så mye man har tenkt til å gjøre alltid). Tusen takk for at du delte dette Zapotek, veldig nyttig.

abc

 

[zapotek]

Men tilbake til det jeg egentlig lurte på, finnes det noen ulemper med å beskytte hele mappen på denne måten? Brukes f.eks. noen filer fra denne mappen for å vise siden for "vanlige" brukere?

 

[TorsteinO]

tror det skal gå bra, her er en liten oversikt over forskjellige ting og tang, f.ex. det IP-greiene du lurte på i den andre tråden, dan: Protect your WordPress site with .htaccess | Tutorial | .net magazine

 

[Dan Åsen Hansen]

Men tilbake til det jeg egentlig lurte på, finnes det noen ulemper med å beskytte hele mappen på denne måten? Brukes f.eks. noen filer fra denne mappen for å vise siden for "vanlige" brukere?

I følge et innlegg litt nede i kommentarfeltet i tråden TorsteinO linker til, kan det visst bli problematisk med no' ajax-greier ...

Mvh Dan

 

[TorsteinO]

ah, se der ja, det der er greit å få med seg! vil vel f.ex. være viktig for endel kommentarløsninger

 

[zapotek]

Ugh, bra jeg bruker bare grønnsåpe istedenfor Ajax når jeg vasker da.

Men fra spøk til revolver, det lenkes til denne siden for løsning på det problemet: Password protecting the wp-admin directory – jQuery , WordPress , ajax , howto , security , apache , lighttpd – Nicolas Kuttler

Her vises dog løsningen ved bruk av htpasswd, ikke blokkering basert på ip-adresse. Jeg er ingen racer på htaccess, så jeg hadde blitt en happy mann om noen kunne laget et eksempel med hvitelisting av "Ajax handler script" og "/wp-admin/css/install.css" sammen med kodesnutten min i åpningsinnlegget.

Her snakker vi massive ryktepoeng med strøsukker på toppen i premie

 

[zapotek]

Forøvrig har jeg støtt på et mysterium i 3 akter når det gjelder dette....

Blokkeringen fungerer ikke på andre enn meg!

Jeg gjorde en test i går kveld:

Først lastet jeg opp htaccess slik at den sperret alle unntatt min IP-adresse. Etterpå klarte jeg å logge inn via adminpanelet.

Deretter gjorde jeg en endring slik at den sperret alle unntatt en annen IP-adresse (jeg endret et av sifrene). Etterpå klarte jeg ikke å logge inn via adminpanelet.

Alt så dermed ut til å virke slik jeg hadde håpet.

Så kommer det merksnodige: Idag har Limit Login Attempts sendt meg en bråte beskjeder om diverse IP-er som har forsøkt å komme seg inn (uten å taste inn korrekt passord selvsagt)?!?!?!?! De har altså kommet forbi blokkeringene i htaccess på et eller annet vis.

Noen som har en logisk forklaring på dette?

 

[aabbcc]

Kan det være at de går rett til fila wp-login.php som vel ligger rett på root?

abc

 

[aabbcc]

Legg inn noe sånt i htaccessfila på root kanskje?

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xx
</Files>