うちはサブドメインでもサイトがあるので、うまくいかなかったのはその辺に原因があるらしい。
他のワードプレスサイトでは簡単にできているので、違う点と言えばそこだろう。マルチサイトではだめだという書き込みもあったし。
フォーラムのほうで「BASIC認証」で調べてみると、ヒントになるものがあった。
ErrorDocument 401 “Denied”
ErrorDocument 403 “Denied”
こいつをhtaccessに書き足すと動いてくれた。
そして、アタックがゼロになったという劇的な結果。
ログインページに到達する前に止められているので、ログにも残らない。
逆に、これを突破してログインページに来ると、マジでヤバいのだろう。
グーグルボットのUAを詐称するボットからのブルートフォースアタックがかなりきつくなってきた。
連中が使うIPは既に100通りを超えている。
これではIPで弾くのは無理だ。
limit lobin attemptsプラグインで、3回ログイン失敗でブロックするような設定にしたところ(以前は3回で1ロックアウトで2回ロックアウトでブロック)、一日に20以上のアラートメールが届くようになった。
いろいろと調べると、ログインページにサーバーの設定で認証をかけるというのがあった。
ものすごくわかりやすいページでその通りやってみたのだが、全然できない。
ログインページにアクセスすると、認証のウインドウも何も出ずに401エラーになる。
現在いろいろ調べているが全くわからない。
どうしたもんかね。