我认为,最好通过以下行限制对.htaccess文件中wp-admin文件夹的访问:
[]1.1.1.1是我的IP地址。 但问题是当一些Wordpress插件使用ajax时,例如Woocomerce总插件。
其中一个想法是将 admin-ajax.php 文件的副本创建为 admin-ajax-new.php ,并为 $ _ GET创建规则[& #39;行动'] ,例如:
#file location: /wp-admin/.htaccess
order deny,allow
deny from all
allow from 1.1.1.1
仅为此文件添加对所有IP地址的访问权限admin-ajax-new.php。
或者只有当referer是我的 exam.ple.com 域时,才能以某种方式允许.htaccess访问 admin-ajax.php 文件。
在这种情况下,什么是最好的安全解决方案?
答案 0 :(得分:1)
您可以通过mod_setenvif实现此目的。通过使用它我们可以设置一个环境变量,如果referer是example.com。然后检查是否设置了此环境变量并允许它。否认所有其他请求。
SetEnvIfNoCase Referer example.com trusted=yes
SetEnvIfNoCase Referer www.example.com trusted=yes
order deny,allow
deny from all
allow from env=trusted
allow from 1.1.1.1