我们在wordpress网站上进行了一些渗透测试,其中一个问题是:
可通过互联网访问管理门户
- 建议通过互联网阻止访问此门户网站
由于该网站是基于网络的cms,这甚至可以修复吗?这不是我的专业领域,我正在努力找到解决这个问题的方法。
有人可以帮忙吗?
由于
答案 0 :(得分:1)
建议通过以下方式阻止对此门户的访问 网络
这一点太模糊了,这就是做最好的人和最软件的人的错。
但请从http://codex.wordpress.org/Brute_Force_Attacks和http://codex.wordpress.org/Hardening_WordPress
开始为了通过将IP 12.345.67.891和23.456.78.99列入白名单来限制对管理区域的访问,在wp-admin中的.htaccess中添加:
Options All -Indexes
order deny,allow
deny from all
allow from 12.345.67.891
allow from 23.456.78.99
deny from all
在根.htaccess
中<Files wp-login.php>
order deny,allow
deny from all
allow from 12.345.67.891
allow from 23.456.78.99
deny from all
</Files>
如果计算范围,也可以使用,即12.345.67.0/24
您还可以模糊您使用WordPress(不是理想的解决方案)这一事实,确保您的托管情况是安全的,并在这些指向Codex的链接上尝试其他最佳做法建议。
请参阅https://wordpress.stackexchange.com/questions/tagged/security
答案 1 :(得分:0)
据我所知,你不能限制你想要的方式。但您可以通过IP地址允许管理员访问特定用户。就像你想要的那样,除了你之外没有人应该访问你的wp管理员,你可以通过在.htaccess中指定你的ip来实现这一点。