Wordpress 当拒绝所有对wp admin的访问时，我怎么还能看到失败的登录尝试？

通过将以下

.htaccess

文件添加到

wp admin

目录，我限制了对wordpress登录页面的访问：

## due to brute force attacks, limiting access to specific ips
order deny,allow
deny from all
allow from 24.xxx.xxx.xxx 66.xxx.xxx.xxx

我已经准备好了一到三天了，还以为它能用。但是今天我从我们的安全插件收到一个通知，这个网站有几次失败的登录尝试。失败的登录尝试来自与以下类似的IP：

200.199.xxx.xxx

我正在

x

列出IP的安全措施，但想让您了解我允许的IP系列与尝试登录的IP系列

那么，一个机器人或个人如何能够在这种类型的阻止下到达登录页面呢

那么，一个机器人或个人如何能够在这种类型的阻止下到达登录页面呢

没有人需要进入任何“页面”向您的服务器发送请求；他们甚至不需要使用“浏览器”

任何使用HTTP的客户端都可以向您的站点发送任何请求

但是今天我从我们的安全插件收到一个通知，这个网站有几次失败的登录尝试

登录表单将数据直接发送到

/wp login.php

——甚至不在您阻止访问的

/wp admin/

文件夹中

/wp login.php

处理整个登录过程，之后只重定向到

/wp admin/

---

您在日志中看到的失败登录尝试来自

/wp login.php

，这很有意义，谢谢。那么，我应该在/wp-login.php页面上使用相同的.htaccess limiting来阻止不必要的流量吗？这是个好主意，是的。否则，有些人仍然可以成功登录-他们可能无法访问/wp admin/path中的任何内容，但至少可以访问前端公开的用户详细信息，谁知道还有什么可能。如果您想更进一步，我可能还会检查wp-login.php的代码，看看它是否可以重定向到其他地方，并通过浏览器开发工具、网络面板验证登录期间/之后调用了哪些路由。另外，您考虑过其他攻击向量吗？如果我将包含身份验证cookie的请求发送到您禁止外部访问的领域之外的前端路由（但我可能已经得到了，或者我可能会尝试强制执行该请求），该怎么办？非常确定那里也会进行登录检查，而不会通过wp login或wp admin进行检查。一旦攻击者登录，前端可能会暴露哪些数据？隐藏的帖子。。。？