Wykonując instalację CMS WordPress z poziomu dPanelu, automatycznie otrzymujesz możliwość zarządzania dodatkową ochroną na poziomie serwera obejmującą odwołania do XML-RPC oraz do zaplecza WordPress domyślnie dostępnego pod adresem nazwadomeny.pl/wp-admin
Ochrona ta bazuje na geolokalizacji i domyślnie przyjmuje dostęp wyłącznie z terenu Polski, przy czym zdajemy sobie sprawę, że edycja i zarządzanie serwisem WWW nie musi się odbywać wyłącznie z naszego kraju.
Jak zarządzać?
Na chwilę obecną możliwe jest to wyłącznie z dPanelu w wersji v3.5, tak więc musisz zalogować się na stronie: https://nowy.dpanel.pl i tam przejść do sekcji Strony WWW (bezpośredni link: https://nowy.dpanel.pl/strony/v/lista/ )
Po wybraniu sekcji Strony WWW w drugim kroku odnajdź swoją domenę na liście i kliknij w pole gdzie jest wymieniona jej nazwa. Następnie rozwiń zakładkę Ochrona strony i tutaj znajdziesz zarówno informacje dotyczące obecnie dozwolonych krajów, ale również przycisk edycji, który umożliwi Ci modyfikowanie reguł lub w razie potrzeby całkowite wyłączenie tego typu ochrony.
Musisz mieć na uwadze, że zmiany wykonane na tym poziomie wymagają przeładowania się ustawień serwera co może potrwać do kilku minut.
Co w sytuacji gdy instalowałem WordPress ręcznie?
Z uwagi na to, że system ochrony działa na płaszczyźnie serwera, jest ona domyślnie aktywna, jednak w sytuacji gdy instalacja CMS WordPress odbyła się ręcznie lub też jest to strona bazująca na „WordPressie”, która została zaimportowana od innego usługodawcy, przedstawione na powyższym zrzucie ekranu opcje nie będą dostępne.
Zarządzanie dla stron instalowanych ręcznie odbywa się przy pomocy reguł w pliku .htaccess
Aby skorzystać z niżej opisanych reguł, będziesz musiał nawiązać połączenie FTP z serwerem np. przy pomocy aplikacji klienta „FileZilla”, po czym zamieścić je w pliku .htaccess, który domyślnie znajduje się lub gdy jeszcze nie powstał, powinien być utworzony w katalogu głównym strony WWW, a więc przykładowo nazwadomeny/public_html.
Dodatkowo TUTAJ znajdziesz wytyczne dotyczące prawidłowej konfiguracji aplikacji klienta FTP.
Dostępne reguły
1. Określenie ilości prób niepoprawnego logowania się do zaplecza WordPress, przed aktywowaniem się systemu ochrony gdzie wartość zero deaktywuje system:
<IfModule Litespeed> WordPressProtect throttle, 5 </IfModule>
2. Użycie parametru off pozwoli Ci całkowicie wyłączyć element ochrony zarówno przy logowaniu się do zaplecza „WordPressa”, jak również deaktywuje sprawdzanie na poziomie odwołań XML-RPC:
<IfModule Litespeed> WordPressProtect off </IfModule>
3. Określenie regułami z jakich krajów można odwoływać się do zaplecza WordPress oraz XML-RPC. Tutaj warto dodać, że jeśli planujemy nadanie dostępu dla więcej niż jednego kraju, należy uzyć konstrukcji: RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !^(|PL|GB|IE|)$ co w przedstawionym przykładzie spowoduje otwarcie dostępu dla Polski, Wielkiej Brytanii oraz Irlandii.
<IfModule LiteSpeed>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^/wp-login.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^/wp-admin$
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !^(|PL|)$
RewriteRule .* - [E=verifycaptcha]
</IfModule><IfModule mod_geoip.c>
RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !^(|PL|)$
RewriteRule xmlrpc.php$ - [F,L]
</IfModule>