限制WordPress网站管理员访问的4种方法

　　限制 WordPress 的管理员访问是一项重要的登录安全措施，我们用它来减少对您的网站页面或帖子的未经授权的访问。黑客可以使用权限升级来访问插件安装等核心网站功能。这使得通过 IP 而不仅仅是角色来限制管理员访问非常重要。您的团队也可能已经壮大，并且您希望确保只有某些成员才能访问某些网站功能，例如发布内容。

　　在 WordPress CMS内容管理器中，限制对管理面板的访问可能意味着很多事情。在更基础的层面上，WordPress 已经具有用户角色的默认功能。理员拥有完全访问权限，但订阅者无法对您的 WordPress 网站进行任何更改。这是一种简单的方法来建立一些规则来规定用户在管理仪表板上可以做什么和不能做什么。本文晓得博客为你介绍限制WordPress网站管理员访问的4种方法。

　　注意：如果您想限制除特定组之外的所有人的管理员访问权限，您可以将 IP（例如团队负责人的 IP）列入白名单，或者仅限管理员进行访问。

　　推荐：WordPress的移动优先索引怎么做

按用户角色限制 WordPress 的管理员访问权限

　　正确设置用户角色是限制 WordPress 管理员访问的最简单方法。不同的角色有自己的仪表板，具有不同的访问级别。WordPress 配备了强大的用户角色系统，为管理员提供了功能丰富的工具来控制各种角色级别的访问和权限。通过分配特定的用户角色，您可以定制访问级别以匹配每个团队成员的职责。以下是主要用户角色及其相关权限：

角色	使用权	职责
管理员/超级管理员	完全控制单个站点上的所有功能，或者对于多站点设置中的超级管理员来说，可以完全控制整个网络上的所有功能。	站点和网络管理，包括安装插件和主题以及管理用户的能力。
编辑	发布和管理帖子和页面的权限。	可以编辑和发布其他用户撰写的帖子，使其适合内容管理任务，而无需完全管理控制。
作者	发布和管理自己的帖子的权限。	控制仅限于他们创作的内容。作者可以发布、编辑和删除自己的帖子，但无权修改他人创建的内容。
贡献者	可以撰写和管理自己的帖子。	贡献者可以创建和编辑他们的帖子，但他们没有发布帖子的权限。相反，他们的内容需要编辑或管理员的批准。
订户	权限有限，主要集中在个人资料管理上。	订阅者的功能很少，主要集中在管理他们的个人资料上。他们缺乏发布或编辑权限，因此该角色适合只需要访问特定内容而无需编辑职责的用户。

　　为了完全限制对用户的访问，我们建议您为他们分配订阅者角色。仪表板仅允许更改他们自己的个人资料。

1、打开用户选项卡

　　在管理仪表板的左侧菜单中，单击“用户”。这将带您到可以管理现有用户以及添加新用户或编辑现有用户的位置。单击“新增”或“编辑”后，您将能够在“用户详细信息”页面中自定义用户的角色。

2、选择角色

　　在用户详细信息页面上，查找角色下拉菜单。此菜单显示分配给用户的当前角色。选择订阅者角色。选择所需的角色后，单击更新用户或添加新用户按钮以保存更改。对其他用户重复这些步骤，根据他们在团队中的职责分配角色。

　　推荐：[最新版]Shoptimizer主题下载最快的WooCommerce主题

通过插件限制 WordPress 的管理员访问

　　如果使用用户角色设置控件还不能完全解决问题，您可以使用插件来限制 WordPress 的管理员访问权限。使用Remove Dashboard Access插件来执行此操作。管理员可以微调访问级别，根据用户角色或角色的内置WordPress 功能允许访问。

　　根据您的要求配置访问设置。选择所需的访问级别、设置重定向 URL，以及启用或禁用用户配置文件访问和自定义登录消息等可选功能。配置设置后，单击保存更改按钮以应用新的访问限制和自定义功能。要测试配置，请注销您的 WordPress 管理员帐户，并尝试使用不同的用户角色访问管理仪表板，并根据配置的设置观察插件的效果。

　　该插件提供了重定向选项的灵活性，使管理员能够根据用户角色选择自定义重定向 URL。如果管理会员网站，则可以将不同的会员重定向到会员仪表板。它还提供可选功能，

　　推荐：Link Whisper插件WordPress内链建设插件

通过IP限制 WordPress 管理员访问

　　这不是一个适用于所有网站的解决方案，因为大多数人都希望他们的网站对全世界可见。然而，它非常适合私人网站，例如公司内部网站。总的来说，对于想要精细控制的管理员来说，这是一个很好的方法。

　　专业提示：在进行任何更改之前先进行备份。创建整个站点的备份至关重要，以避免编辑核心站点文件时出现潜在问题。如果在编辑过程中出现任何问题，这将充当安全网。此方法特定于 Apache服务器上的站点。如果您有 Nginx 服务器，检查步骤将会有所不同。

1、查找您的 IP 地址

　　前往我的 IP 地址是什么？并记下搜索结果中显示的 IP 地址。这是您当前的公共 IP 地址。

2、下载 .htaccess 文件

　　导航到 WordPress 安装的根目录，在 wp-admin 文件夹中查找 .htaccess 文件。该文件通常是隐藏文件。如果找不到该文件，请创建一个新文件并将其命名为“.htaccess”。双击 .htaccess 文件，这会将文件下载到您的设备，将代码添加到文件中：

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist user1's IP address
allow from 12.34.56.789
# whitelist user2's IP address
allow from 12.34.56.789
</LIMIT>

　　将“12.34.56.789”替换为您计算机的实际 IP 地址。如果您有动态 IP，请准备好在 IP 发生变化时进行更新，否则您将无法访问您的网站。根据其他团队成员及其 IP 的需要，添加尽可能多的允许行。将更改保存到 .htaccess 文件。

　　推荐：Defender Security插件WordPress安全插件教程

　　将所有 IP 列入黑名单和将内部团队 IP 列入白名单似乎是增强安全性的一种简单方法，但有几个考虑因素会导致此策略的有效性和挑战性降低，特别是在动态技术环境中追求可扩展性和适应性时。

可扩展性挑战：实施依赖于基于 IP 地址的黑名单和白名单的策略可能适合具有静态设置的小型团队。然而，随着团队的壮大或基础设施变得更加分散，维护允许和阻止的 IP 的全面且最新的列表就成为一项艰巨的任务。它缺乏适应不断变化的业务需求和技术进步所需的可扩展性。
潜在的IP地址变化： IP地址不是静态的，特别是在涉及云服务、移动设备或远程工作的场景中。团队成员可能会切换网络、使用不同的设备或从不同的位置进行连接，从而导致 IP 地址频繁更改。由于这些动态 IP 变化，仅依赖白名单内部 IP 可能会导致无意的访问限制。
动态IP的复杂性：动态IP通常用于住宅和移动网络，在管理方面提出了挑战。尝试将这些动态 IP 列入白名单非常复杂，因为它们可能会频繁更改，并且通常由互联网服务提供商 (ISP) 动态分配。这种复杂性带来了管理负担和潜在的安全漏洞。
需要手动更新：维护最新的 IP 白名单需要手动干预。当团队成员改变位置或设备时添加或删除 IP 可能会导致延迟和错误。手动更新增加了疏忽的可能性，使安全漏洞容易被利用。
有限保护：基于 IP 地址的黑名单和白名单可能对使用虚拟专用网络的用户提供有限的保护。使用用户可以有效地掩盖其实际 IP 地址，从而降低基于 IP 的访问控制的效果。此限制会带来风险，尤其是在使用合法但可能被误解为安全威胁的情况下。
用户的潜在访问限制：仅依赖基于 IP 的访问控制可能会无意中限制合法用户的访问。例如，如果员工的 IP 地址未列入白名单，则远程出差或工作的员工可能会在访问必要资源时遇到困难。这种限制阻碍了团队的灵活性和生产力。

使用自定义代码限制WordPress管理员访问

　　完全限制管理员访问权限的方法是将代码添加到主题的 function.php 文件中。如果非管理员尝试访问管理区域，代码会将其重定向到网站的主页。

1、导航到functions.php文件

　　连接后，打开根文件夹。这通常是 public_html 或 www 文件夹。然后，打开 wp-content 文件夹并导航到活动主题的文件夹。然后，查找functions.php 文件并双击它。这会将其下载到您的计算机上。或者在WordPress仪表盘后台主题文件编辑器中打开functions.php 文件。

2、添加代码

使用自定义代码限制WordPress管理员访问 — 限制WordPress网站管理员访问的4种方法

　　在文本编辑器中打开该文件并添加以下代码：

add_action( 'init', 'blockusers_init' );
function blockusers_init() {
    if ( is_admin() && ! current_user_can( 'administrator' ) && ! ( defined( 'DOING_AJAX' ) && DOING_AJAX ) ) {
        wp_redirect( home_url() );
        exit;
    }
}

　　保存新编辑的functions.php 文件，完成后，尝试以非管理员用户身份登录您的网站。

　　专业提示：此代码不比较角色，而是比较角色的能力。假设您想要授予编辑者和管理员访问权限，请将“管理员”一词替换为“编辑者”，它将包括管理员和编辑者。该代码涵盖了您提到的角色以及更高级别的角色。

总结

　　以上是晓得博客为你介绍的限制WordPress网站管理员访问的4种方法的全部内容，保护您的 WordPress 管理面板对于防止未经授权的访问至关重要。IP 白名单和用户角色管理等技术是减少不同用户拥有的功能量的关键步骤。它可以防止黑客使用您的仪表板对您的网站进行核心更改，例如破坏网站，希望对你的WordPress建站有所帮助，如有问题可联系我们。

　　推荐：如何使网站在谷歌上排名更高

常见问题

可以限制对WordPress的访问吗？

是的，您可以使用各种方法限制对 WordPress 的访问。一些方法包括封锁所有IP以及将内部团队的IP列入白名单。还可以通过管理用户角色或限制管理员访问等插件来限制对管理面板的访问。

如何限制WordPress中的用户角色？

要限制 WordPress 中的用户角色，您可以使用内置的功能和角色系统。在 WordPress 管理仪表板中，导航到“用户”，然后导航到“角色”。您可以编辑每个角色的功能，以控制具有该角色的用户可以访问的操作和功能。此外，还有一些插件可以提供更高级的角色管理功能，允许您创建自定义角色并为每个角色定义特定权限。

为什么要限制 WordPress 的管理员访问权限？

出于安全原因，限制对 wp-admin 的访问至关重要。管理区域是 WordPress 网站的控制中心，未经授权的访问可能会导致各种风险，包括数据泄露、恶意活动和未经授权的修改。通过限制访问，您可以防止潜在的攻击者获得对关键设置、插件和主题的控制。这是一项基本的安全措施，可保护您的网站免受未经授权的更改、维护内容的完整性以及保护管理区域中存储的敏感信息。

　　推荐：如何减少WordPress网站初始服务器响应时间