Wordpress-通过IP限制管理页面访问的正确方法

我正在寻找通过IP限制访问wordpress管理页面的正确方法

环顾四周，我经常看到的解决方案是使用.htaccess。即使对于解决方案来说不是太糟糕，但它看起来并不正确，而且它错过了一些可以通过xmlrpc执行的操作

还有一个名为“安全管理IP”的插件，看起来很适合这项工作，但安装次数不多

Wordfence是wordpress非常流行的waf，它似乎不支持此功能。有人对这个问题有什么建议吗？这是人们不经常做的事情吗？这就是为什么它周围没有那么多资源的原因

---

另外，我对wordpress还很陌生，所以希望我没有错过一些非常深刻的东西。

如果你想在服务器级别拒绝对管理员的访问，那么你需要一个服务器级别的控件，比如

.htaccess

。这是保证代码不被允许运行的最好方法。否则，Wordfence在速率限制、国家阻止和支持IP地址白名单方面做得非常好。他们还可以根据已知的数据泄露检查密码，最重要的是，他们有警报和日志记录。如果你真的有妄想症，那么在你的所有帐户上都需要MFA。我可能错了，但我的印象是，即使你将一个IP列入白名单，wordfence仍然允许另一个IP登录（但该IP将有其他限制配置在wordfence上，如验证码、速率限制）。这是正确的，白名单只会停止对该IP的额外检查，并不会使WordPress仅对其进行独占。我不知道规则的顺序，但是如果白名单出现在黑名单之前，你可以想象，你可以将整个互联网列入黑名单，然后将你的子集列入白名单，不过你肯定要先测试一下。但是如果你真的关心安全性，你真的不想让代码运行，也不想让数据库参与其中，所以我还是建议在这种情况下使用htaccess方法。我发现这样一个简单的功能在wordpress上不太容易获得，这真是令人难以置信。只需在登录函数中添加一个简单的钩子，并检查登录是否由一组给定的IP执行即可。很简单很有价值。htaccess是一个非常肮脏的解决方案，很难使用，如果不小心的话也很容易出错（例如xmlrpc）。可能有很多插件完全按照您所说的做，我个人并不知道它们。相反，无论什么时候，正如你所指出的，让人难以置信的简单，我们中的许多人只是用几行代码来连接WordPress的本机功能。在这种情况下，一个到

login\u init

的简单挂钩就足够了。根据您的设置，查找客户机的IP可能很容易，但是，如果您有一个代理，则需要检查一组头。虽然一个插件可以完成所有这一切，但它的代码将比实际逻辑多100倍。