Wordpress 当拒绝所有对wp admin的访问时,我怎么还能看到失败的登录尝试?
通过将以下Wordpress 当拒绝所有对wp admin的访问时,我怎么还能看到失败的登录尝试?,wordpress,.htaccess,security,wp-admin,Wordpress,.htaccess,Security,Wp Admin,通过将以下.htaccess文件添加到wp admin目录,我限制了对wordpress登录页面的访问: ## due to brute force attacks, limiting access to specific ips order deny,allow deny from all allow from 24.xxx.xxx.xxx 66.xxx.xxx.xxx 我已经准备好了一到三天了,还以为它能用。但是今天我从我们的安全插件收到一个通知,这个网站有几次失败的登录尝试。失败的登录尝
.htaccess
文件添加到wp admin
目录,我限制了对wordpress登录页面的访问:
## due to brute force attacks, limiting access to specific ips
order deny,allow
deny from all
allow from 24.xxx.xxx.xxx 66.xxx.xxx.xxx
我已经准备好了一到三天了,还以为它能用。但是今天我从我们的安全插件收到一个通知,这个网站有几次失败的登录尝试。失败的登录尝试来自与以下类似的IP:
200.199.xxx.xxx
我正在x
列出IP的安全措施,但想让您了解我允许的IP系列与尝试登录的IP系列
那么,一个机器人或个人如何能够在这种类型的阻止下到达登录页面呢
那么,一个机器人或个人如何能够在这种类型的阻止下到达登录页面呢
没有人需要进入任何“页面”向您的服务器发送请求;他们甚至不需要使用“浏览器”
任何使用HTTP的客户端都可以向您的站点发送任何请求
但是今天我从我们的安全插件收到一个通知,这个网站有几次失败的登录尝试
登录表单将数据直接发送到/wp login.php
——甚至不在您阻止访问的/wp admin/
文件夹中
/wp login.php
处理整个登录过程,之后只重定向到/wp admin/
您在日志中看到的失败登录尝试来自
/wp login.php
,这很有意义,谢谢。那么,我应该在/wp-login.php页面上使用相同的.htaccess limiting来阻止不必要的流量吗?这是个好主意,是的。否则,有些人仍然可以成功登录-他们可能无法访问/wp admin/path中的任何内容,但至少可以访问前端公开的用户详细信息,谁知道还有什么可能。如果您想更进一步,我可能还会检查wp-login.php的代码,看看它是否可以重定向到其他地方,并通过浏览器开发工具、网络面板验证登录期间/之后调用了哪些路由。另外,您考虑过其他攻击向量吗?如果我将包含身份验证cookie的请求发送到您禁止外部访问的领域之外的前端路由(但我可能已经得到了,或者我可能会尝试强制执行该请求),该怎么办?非常确定那里也会进行登录检查,而不会通过wp login或wp admin进行检查。一旦攻击者登录,前端可能会暴露哪些数据?隐藏的帖子。。。?