如何限制和限制对wordpress Admin的访问(即使在登录后),仅限于一台或两台机器。 我如何创建“手动”创建一台计算机上的认证,以便检查我的管理页面的访问权限?
答案 0 :(得分:0)
您可以在/ wp-admin文件夹中创建.htaccess文件,以限制IP或主机名的访问。在.htaccess文件中,添加以下内容:
<LIMIT GET>
order deny,allow
deny from all
allow from [xxx.xxx.xxx.xxx]
allow from [host.domain.com]
</LIMIT>
您还可以创建.htpasswd文件以使用Wordpress身份验证之外的BASIC身份验证。通过运行:
htpasswd -c .htpasswd [username]
如果[username]是您要创建的用户名,则会提示输入密码。要添加其他用户,请省略-c(此标志创建新文件)。创建.htpasswd文件后,请在.htaccess文件中引用它,如下所示:
<LIMIT GET>
AuthType Basic
AuthName "Wordpress Admin"
AuthUserFile /path/to/authfile/.htpasswd
Require valid-user
</LIMIT>
答案 1 :(得分:0)
您可以使用客户端证书身份验证来限制对该网站部分的访问。 (为了实用性,最好通过目录/位置指令内的重新协商来请求证书,而不是整个主机。)
客户端证书的CA不必与服务器证书的CA相关,因此您可以拥有自己的小型CA. (有一些工具可以帮助您解决此问题,例如,OpenSSL的CA.pl或TinyCA。)
您需要为要允许这些连接的浏览器颁发证书。您还可以将某些主题DN映射到某些用户名(使用FakeBasicAuth身份验证)并将其用于授权。这里有一些例子:http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html#accesscontrol
你可以在这些浏览器上保留私钥的使用不受密码保护(虽然通常不是一个好主意),所以任何人都可以使用这些机器以这种方式访问(如果这是你要做的事情) )。用密码保护它们当然更好(例如Firefox中的主安全密码),这样你就知道它也是机器的正确用户。您可能希望查看IE的不可导出的私钥选项,以便即使合法用户也无法导出私钥(至少没有一定难度)。