htaccess規則：蠻力攻擊期間服務器負載最低

Question

我想限制對wp-login.php的訪問。我想知道兩種方法中的哪一種在暴力攻擊期間服務器負載最小。

<Files wp-login.php> 
Order Deny,Allow 
Deny from All 
Allow from x.x.x.x 
</Files> 

或

# BEGIN WordPress 
<IfModule mod_rewrite.c> 
RewriteEngine On 
RewriteBase/
RewriteRule ^openplease$ /wp-login.php?hfkan45dhfj76nshs [CO=accesss:666:mydomain.com,R,L] 
RewriteCond %{QUERY_STRING} !^hfkan45dhfj76nshs 
RewriteCond %{HTTP_COOKIE} !^.*accesss=666.*$ 
RewriteRule ^wp-login.php$ http://127.0.0.1/ [L,R=301] 
RewriteRule ^index\.php$ - [L] 
RewriteCond %{REQUEST_FILENAME} !-f 
RewriteCond %{REQUEST_FILENAME} !-d 
RewriteRule . /index.php [L] 
</IfModule> 
# END WordPress 

的代碼限制訪問第一個塊通過僅允許一個IP地址，這意味着IP地址必須與BFA期間每POST請求進行檢查。

第二個限制在將請求重定向到127.0.0.1之前檢查條件。登錄頁面被重命名，並且當有人不通過該頁面時，cookie將不會被設置。如果登錄頁面沒有包含hfkan45dhfj76nshs的url，並且沒有可用的cookie，則訪問被拒絕。

Answer 1

如果你想避免暴力破解攻擊的風險，你可以只使用這個插件改變你的登錄頁面的地址： https://wordpress.org/plugins/custom-login-url/