如何限制和限制对wordpress Admin的访问(即使在登录后),仅限于一到两台机器。我如何"手动"创建一个存在于一台计算机上的证书,该证书将被检查是否可以访问我的管理页面?
您可以在/wp-admin文件夹中创建一个.htaccess文件,以限制IP或主机名的访问。在.htaccess文件中,添加以下内容:
<LIMIT GET>
order deny,allow
deny from all
allow from [xxx.xxx.xxx.xxx]
allow from [host.domain.com]
</LIMIT>
您也可以创建一个.htpasswd文件来使用Wordpress身份验证之外的BASIC身份验证。通过运行创建文件
htpasswd -c .htpasswd [username]
其中[username]是您想要创建的用户名,它将提示您输入密码。要添加其他用户,请省略-c(此标志将创建一个新文件)。创建.htpasswd文件后,在.htaccess文件中引用它,如下所示:
<LIMIT GET>
AuthType Basic
AuthName "Wordpress Admin"
AuthUserFile /path/to/authfile/.htpasswd
Require valid-user
</LIMIT>
您可以使用客户端证书身份验证来限制对站点该部分的访问。(为了可用性,最好在目录/位置指令中通过重新协商来请求证书,而不是针对整个主机。)
客户端证书的CA不必与服务器证书的CA相关,因此您可以拥有自己的小型CA。(有一些工具可以帮助您做到这一点,例如,OpenSSL的CA.pl或TinyCA。)
您需要为您希望允许这些连接的浏览器颁发证书。您还可以将某些Subject DN映射到某些用户名(使用FakeBasicAuth身份验证),并使用它进行授权。这里有一些例子:http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html#accesscontrol
你可以让这些浏览器上私钥的使用不受密码保护(尽管这通常不是一个好主意),所以任何使用这些机器的人都可以通过这种方式访问(如果你想这样做的话)。当然,最好用密码来保护它们(例如Firefox中的主安全密码),这样你就知道它也是机器的正确用户。为此,您可能需要查看IE的不可导出私钥选项,这样即使是合法用户也无法导出私钥(至少不会有一定程度的困难)。