我想限制对wp-login.php的访问。我想知道在暴力攻击期间,这两种方法中哪一种服务器负载最少。
<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from x.x.x.x
</Files>
或
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^openplease$ /wp-login.php?hfkan45dhfj76nshs [CO=accesss:666:mydomain.com,R,L]
RewriteCond %{QUERY_STRING} !^hfkan45dhfj76nshs
RewriteCond %{HTTP_COOKIE} !^.*accesss=666.*$
RewriteRule ^wp-login.php$ http://127.0.0.1/ [L,R=301]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
第一个代码块只允许一个IP地址限制访问,这意味着必须在BFA期间检查每个POST请求的IP地址。
第二个限制在将请求重定向到127.0.0.1之前检查条件。登录页面被重命名,当有人不通过该页面时,将不会设置cookie。如果登录页面中没有包含hfkan45dhfj76nshs的URL并且没有可用的cookie,则拒绝访问。
答案 0 :(得分:-1)
如果您想避免暴力攻击的风险,您可以使用此插件更改登录页面的地址: https://wordpress.org/plugins/custom-login-url/