L'objectif : Supprimer complètement la possibilité d'accéder au backend WordPress sur le domaine de production. Ex. renvoyer un 404 pour http://example.com/wp-admin
Objet : Je ne souhaite pas que le backend de WordPress soit accessible via Internet. Au lieu de cela, il ne sera accessible que par VPN sur un domaine interne (par exemple, http: //example.internal/wp-admin . Cela garantit que personne ne pourra jamais attaquer brutalement la page de connexion.
Je pourrais limiter les connexions à une adresse IP donnée, mais je ne veux pas suivre une liste d'adresses IP. Je préférerais utiliser la sécurité offerte par mon VPN.
Considérez que wp-admin
doit encore être accessible d’une certaine manière car il pourrait y avoir des ressources appelées par le client.
Existe-t-il des solutions autres que la redirection wp-login.php
ailleurs?
Si vous connaissez le sous-réseau de votre VPN, vous pouvez restreindre l'accès à/wp-admin via .htaccess à l'aide de règles Apache standard.
<Directory /var/www/wp-admin/>
Order deny,allow
Allow from 192.168.1.0/24
Allow from 127
</Directory>
De toute évidence, vous devrez ajuster le sous-réseau du répertoire et de l'adresse IP en fonction de vos besoins.
Pour restreindre l'accès à un fichier spécifique:
<Files _FILE_.php>
Order allow,deny
Deny from all
Allow from 127.0.0.1
</Files>
Là encore, vous pouvez utiliser un masque de sous-réseau adapté à votre VPN.