(Je suis conscient que la sécurité via l'obscurité n'est pas recommandée).
J'essaie de cacher le fait que j'utilise Wordpress. Ce message est utile, mais il ne traite que du contenu (en quelque sorte). Je souhaite que les événements suivants se produisent:
L'utilisateur essaie d'accéder à n'importe quelle URL avec
wp*
comme sous-chaîne via son navigateur.Résultat: redirigé vers la page 404.
L'utilisateur / l'administrateur du blog sait qu'il doit se connecter pour se connecter
http://example.com/blogin/
.Résultat: apache les redirige vers
http://example.com/wp-admin/
.Si un utilisateur essaie d'accéder directement à
wp-admin
partir de son navigateur, il est envoyé au n ° 1.Résultat: redirigé vers la page 404.
Les choses que j'ai faites jusqu'à présent
J'ai remarqué pour une installation par défaut de WordPress que je pouvais accéder à tous les
wp*
fichiers du répertoire racine (relatif) de l'installation WP. Plus précisément, cela awp-settings.php
été problématique, car cela a donné des informations sur ma configuration. Si un utilisateur y accédait, il cracherait quelques erreurs PHP et révélerait une partie de la structure du répertoire. J'ai modifié mon fichier php.ini pour ledisplay_errors
désactiver. Maintenant, l'accèshttp://example.com/wp-settngs.php
fait apparaître une page vierge.Cela en soi n'est pas idéal car il révèle qu'il
wp-settings.php
existe. En fait, l'accès à tous les différentswp*
fichiers est possible (avec des résultats différents). J'ai ensuite mis ce qui suit dans mon fichier htaccess:RewriteEngine On RewriteBase / RewriteCond %{PATH_INFO} wp* [NC] RewriteRule .* - [F]
Cela a très bien fonctionné! Tout ce qui a un a
wp*
été acheminé vers ma page 404 personnalisée. Mais maintenant, je ne peux pas accéder à ma page d'administration.J'ai essayé d'insérer cette ligne dans le code ci - dessus:
RewriteRule ^blogin wp-admin [NC,R,L]
. C'était censé être juste après,RewriteBase
mais cela n'a pas fonctionné.J'ai essayé de faire:
<Directory /home/example/wp*> Order Allow, Deny Allow from example.com Deny from all </Directory>
en espérant qu'un référent de mon site (via la réécriture de la règle) serait en mesure d'accéder à wp-admin, mais pas à quelqu'un de l'extérieur. Cela n'a pas fonctionné non plus. apache s'est plaint que vous ne pouvez pas utiliser cette directive de htaccess.
J'ai lu la documentation d'apache; Je comprends les concepts, théoriquement, mais j'ai besoin d'une aide pratique.
EDIT: Je recherche une solution qui utilise .htaccess au lieu de httpd.conf car ma configuration particulière rend l'utilisation de httpd.conf incohérente.