web-dev-qa-db-fra.com

Options pour restreindre l'accès à wp-admin

J'ai donc installé un plug-in qui me permet d'activer l'authentification à deux facteurs pour mes utilisateurs. Le problème est que pour activer le plug-in, je dois me connecter en tant qu'utilisateur et l'activer via sa page de profil (wp-admin).

Ce n'est pas un problème, à part le fait que rien n'empêche les utilisateurs de se connecter et de désactiver l'authentification à deux facteurs qui pose problème.

J'ai jeté un coup d'œil sur quelques problèmes et aucun ne semble avoir fonctionné. Je souhaite essentiellement limiter l'accès au back-end à un nombre restreint de personnes (moi-même et quelques autres).

J'ai essayé la connexion furtive et quelques solutions htaccess et aucune n'a semblé fonctionner.

Des idées?

3
aprea

Vous pourriez en faire un plug-in mu (plug-in 'Must Use'). Tout fichier PHP que vous avez inséré dans/wp-content/mu-plugins/sera automatiquement inclus dans WordPress. Vous ne pouvez pas désactiver le plugin (sauf si vous avez un accès ftp au serveur). Si vous utilisez un plug-in mu, assurez-vous de placer cette fonctionnalité dans un sous-répertoire et de l'amorcer avec un fichier php dans le répertoire mu-plugins.

MODIFIER

Après avoir lu le commentaire, je pense que je comprends mieux le problème. On dirait que vous voulez pouvoir bloquer complètement les gens de l’administrateur. Ce n'est pas si difficile. Essaye ça:

function my_awesome_admin_lockout(){
  if( is_admin() && !current_user_can( 'manage_options' ) ) {
    wp_redirect( home_url() );
    die();
  }
}

add_action( 'init', 'my_awesome_admin_lockout' );

En gros, cela verrouille tout le monde sauf les administrateurs en dehors de la zone d'administration.

3
John P Bloch

Que diriez-vous de révoquer les autorisations d'écriture mysql sur la table du plugin

Quiconque voudrait modifier n'importe quelle valeur recevra une erreur.

Si vous souhaitez mettre à jour - vous devez rétablir les autorisations, mettre à jour les enregistrements, refuser à nouveau les autorisations.

0
mireille raad

Je n'ai pas essayé. Mais cela peut fonctionner pour vous.

  1. Restreindre l'accès complet à wp-admin à l'aide de .htaccess.
  2. Maintenant, créez un fichier alias php en dehors de wp-admin ou dans un autre dossier.
  3. Incluez le fichier wp-admin.php ou le fichier php nécessaire dans le fichier alias PHP.
  4. restreindre l'accès des moteurs de recherche au dossier contenant votre fichier alias à l'aide de robots.txt
0
Amit Kumar Gupta