唯我獨『登』、利用.htaccess來限制ＩＰ登入WordPress後台

前陣子在看過高登老爺和山羊各寫了一篇有關WordPress後台的防護方式後，後來丫湯各去試用了一下，其實都很不錯，我是走外掛愈少愈好那一派的，但因為山羊的要改原碼，深怕哪次改版後會忘記要再去修，或是出什麼問題，所以決定來從.htaccess檔案中來下手，這邊也順便做個筆記提供給大家其它防護的做法參考。

在往下看之前，客棺們可以先參考看看以下的做法：

高登老爺（利用外掛）：幫WordPress後台築城牆

山羊兄（原碼修改）：我的部落格被駭客了 – wordpress 後台登入修補

今天我們則是來看看怎麼利用.htaccess的設定來限制只有自己的電腦ＩＰ可以登入WordPress的後台，如此一來別人不管怎麼登都登不進去囉～只不過如果你常常在不同地方登入可能就不適用了…

利用.htaccess限定IP登入：

１、固定ＩＰ

如果你是使用固定IP的話，在wp-admin下新增.htaccess檔案

新增以下語法，將紅字部份改為你的IP即可，網址看你要轉頁去哪就輸入哪，正常來說都會輸入自己的首頁，總不會免費幫別人打廣告吧＠＠

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^12.114.22.10

RewriteRule .* http://欲轉頁的網址/ [R,L]

</IfModule>

修改之後，只要不是你的IP位址想要進入後台登入頁都會被自動轉回首頁，就算是利用 http://網址/wp-login.php，最多只能看到帳密輸入，登了之後會轉到你輸入的網址去。

２、動態ＩＰ

以動態ＩＰ來說，原則上前２個位址都是固定的，變的通常是後面２個所以我們在.htaccess裡可以如此設定，修改前２個位址為你的即可

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^12.114.

RewriteRule .* http://欲轉頁的網址/ [R,L]

</IfModule>

３、wp-login.php顯示404頁面

如果你覺得只鎖了wp-admin資料夾還不夠，連wp-login.php也要限制的話，在網站根目錄下的.htaccess（如果沒這個檔案就新增），新增以下語法，同上，只要將ＩＰ換成你的ＩＰ即可，如果你是動態ＩＰ，則改為12.114. 即可

<Files wp-login.php>

Order deny,allow

Deny from All

Allow from 12.114.22.10

</Files>

相對的，我們不一定要讓他變404頁面，當然也可以wp-admin一樣，轉到某個網頁，使用以下語法：

<IfModule mod_rewrite.c>

RewriteCond %{REQUEST_URI} wp-login.php

RewriteCond %{REMOTE_ADDR} !^12.114.22.10

RewriteRule .* http://欲轉頁的網址/ [R,L]

</IfModule>

最後再補充一個語法，如果要限制別人觀看你的目錄內容，只要在根目錄下的.htaccess檔加入以下語法即可

Options All –Indexes

如此一來像是輸入

http://網址/wp-content/plugins

或

http://網址/wp-content/themes

就看不到裡面的目錄了～全部會被轉至404頁面，別人就不知道你裝了哪些外掛，或是用了哪個佈景（如果你佈景改很大的話）