htaccess通過保護Wordpress功能的干擾

Question

我的主機要求我執行htaccess authentication爲我的Wordpress安裝添加額外的安全層。

當訪問Wordpress管理區域時，系統會要求我提供第二個（服務器）級別的身份驗證。這很好，但是我的網站上有一個通過保護的頁面。不幸的是，此頁面的所有用戶也被要求提供htaccess證書。

有沒有更好的方法來增加這種強力保護？或者也許是一種排除特定頁面的方法來要求第二個因素認證？

此外，後者是否會削弱並挫敗第二次登錄的目的？

下面是本教程的相關代碼...

ErrorDocument 401 "Unauthorized Access" ErrorDocument 403 "Forbidden" <FilesMatch "wp-login.php"> AuthName "Authorized Only" AuthType Basic AuthUserFile /home/username/.wpadmin require valid-user </FilesMatch>

編輯：另外這個方法似乎並不可行爲有訂戶WP網站。當然他們需要訪問wp-login.php。

Answer 1

嘗試https://wordpress.org/plugins/better-wp-security/; https://wordpress.org/plugins/bulletproof-security/或Wordpress上的其他安全插件。

Answer 2

可以排除使用，對請求的URI相匹配的環境變量的頁面：

ErrorDocument 401 "Unauthorized Access" 
ErrorDocument 403 "Forbidden" 

SetEnvIfNoCase Request_URI ^/path/to/no-protect-page$ ok_uri=true 

AuthName "Authorized Only" 
AuthType Basic 
AuthUserFile /home/username/.wpadmin 
Require valid-user 
Allow from env=ok_uri 
Satisfy Any 

那麼，這htaccess文件放在將密碼保護，除了的請求/path/to/no-protect-page目錄。