wordpress - Wordpress管理者のアクセスを1台または2台のマシンに制限する方法

Question

WordPress管理者へのアクセスを（ログイン後でも）1台または2台のマシンに制限および制限する方法。管理ページへのアクセスをチェックする、1台のコンピューターに存在する「手動」証明書を作成するにはどうすればよいですか？

Answer 1

/wp-admin フォルダーにファイルを作成して、.htaccessIP またはホスト名でアクセスを制限できます。.htaccessファイルに、次を追加します。

<LIMIT GET>
order deny,allow
deny from all
allow from [xxx.xxx.xxx.xxx]
allow from [host.domain.com]
</LIMIT>

.htpasswdWordpress 認証以外の BASIC 認証を使用するファイルを作成することもできます。次を実行してファイルを作成します。

htpasswd -c .htpasswd [username]

[username] は作成するユーザー名で、パスワードの入力を求めるプロンプトが表示されます。ユーザーを追加するには、を省略します-c(このフラグは新しいファイルを作成します)。.htpasswd ファイルを作成したら、.htaccessファイル内で次のように参照します。

<LIMIT GET>
AuthType Basic
AuthName "Wordpress Admin"
AuthUserFile /path/to/authfile/.htpasswd
Require valid-user
</LIMIT>

Answer 2

クライアント証明書認証を使用して、サイトのその部分へのアクセスを制限できます。(使いやすさのために、ホスト全体ではなく、ディレクトリ/場所のディレクティブ内で、再ネゴシエーションを介して証明書を要求する方がおそらく良いでしょう。)

クライアント証明書の CA は、サーバー証明書の CA に関連付ける必要がないため、独自の小さな CA を持つことができます。CA.pl(OpenSSLや TinyCAなど、これを支援するツールがあります。)

これらの接続を許可するブラウザーの証明書を発行する必要があります。特定のサブジェクト DN を特定のユーザー名に (FakeBasicAuth認証を使用して) マップし、これを承認に使用することもできます。ここに例があります: http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html#accesscontrol

これらのブラウザーでの秘密鍵の使用をパスワードで保護しないままにしておくことができます (ただし、一般的には良い考えではありません)。そのため、これらのマシンを使用する人は誰でもこの方法でアクセスできます (それがあなたがしようとしている場合)。それらをパスワード (Firefox のマスター セキュリティ パスワードなど) で保護することをお勧めします。これについては、IE のエクスポート不可の秘密鍵オプションを調べて、正当なユーザーでさえ (少なくともある程度の困難なしに) 秘密鍵をエクスポートできないようにすることをお勧めします。