web-dev-qa-db-fra.com

Quelle est la meilleure méthode pour fermer le backend?

L'objectif : Supprimer complètement la possibilité d'accéder au backend WordPress sur le domaine de production. Ex. renvoyer un 404 pour http://example.com/wp-admin

Objet : Je ne souhaite pas que le backend de WordPress soit accessible via Internet. Au lieu de cela, il ne sera accessible que par VPN sur un domaine interne (par exemple, http: //example.internal/wp-admin . Cela garantit que personne ne pourra jamais attaquer brutalement la page de connexion.

Je pourrais limiter les connexions à une adresse IP donnée, mais je ne veux pas suivre une liste d'adresses IP. Je préférerais utiliser la sécurité offerte par mon VPN.

Considérez que wp-admin doit encore être accessible d’une certaine manière car il pourrait y avoir des ressources appelées par le client.

Existe-t-il des solutions autres que la redirection wp-login.php ailleurs?

3
developdaly

Si vous connaissez le sous-réseau de votre VPN, vous pouvez restreindre l'accès à/wp-admin via .htaccess à l'aide de règles Apache standard.

<Directory /var/www/wp-admin/>
  Order deny,allow
  Allow from 192.168.1.0/24
  Allow from 127
</Directory>

De toute évidence, vous devrez ajuster le sous-réseau du répertoire et de l'adresse IP en fonction de vos besoins.

Pour restreindre l'accès à un fichier spécifique:

<Files _FILE_.php>
    Order allow,deny
    Deny from all
    Allow from 127.0.0.1
</Files>

Là encore, vous pouvez utiliser un masque de sous-réseau adapté à votre VPN.

10
Steve