使用wordpress的專案開發越多,越是得注意它的安全,基於此,便想加強管理介面wp-admin的保護。但今日奮戰了近四個小時,仍以失敗作收,只好先留下記錄,下次再戰。如有人能提供建議,希望可以留言給我,謝謝。

失敗一:
一開始想透過.htaccess來進行wp-admin重寫和導向,雖然重導向成功,但卻無法登入,一直回到帳號密碼輸入頁面。
wp-admin進行重寫和導向

後來找到這篇文章Who Else Wants to Hide Their Wordpress Folder?,看了裡面的討論,發現很多人也是一樣的狀況,而且若沒有重命名wp-login.php這個檔案,只重導wp-admin也無法達到保護的目的。

失敗二:
接著,尋線來到hardening wordpress,這是官方的安全強化文件。針對wp-admin的部份,它建議可以使用AskApache Password Protect外掛,不僅保護wp-admin和wp-login.php,還有wp-content及wp-includes…

但經測試後沒有通過驗證(主機缺必備元件函式)。因此無法使用,調了幾個設定項也無效,只好暫時放棄,之後有空再來研究。
AskApache Password Protect

註:像這功能太強的外掛,很怕會造成後續開發上的一些問題,算是喜憂參半的結果。

失敗三:
搞這麼久都沒成果,不是很能接受空手而回,就想,加個最基本的目錄密碼保護總該可以吧。

設定好.htaccess後,帳號密碼驗證框有跳出來,但輸入後卻跑到404頁面;不死心,改用cpanel去設定,結果仍一樣。
404

看看小鬧鐘已經三點半,時間都浪費掉了。這些失敗,大概都是因為wordpress本身設計的一些機制,不是說它不好,只能說讓我很鬱悶。

 
  • Hemidemi
  • MyShare
  • Udn
  • funP
  • Furl