Как запретить заходить на определенный путь на сайте всем, кроме определенного ip?

Question

[Артём Варламов]

Доброго времени суток! Столкнулся с проблемой безопасности на WordPress. У wp есть стандартное окно аунтификации находящееся по пути домен.ру/wp-login.php. Из соображений безопасности я хочу что бы любой кто попытался попасть на этот адрес, кроме моего ip, получал ошибку 404 (Именно 404, а не 403). При этом основной домен и остальные его пути затрагиваться не должны (т.е сам домен.ру и его другие пути кроме /wp-login.ru будет доступен всем), как возможно это сделать? Сервер стоит Ngnix. Заранее спасибо всем кто уделил внимание этому вопросу!

Answer 1

[szQocks]

location / {
        allow 33.33.333.333;
        deny all;

        root /var/www/test/client/public;
        try_files $uri $uri/ /index.html;
  }

Comments

[Артём Варламов]

В целом да, это решение, но это выдает 403. На момент написания я думал что будет лучше если бы выдавало 404, но я подумал и решил что это не сильно увеличит безопасность

[szQocks]

Артём Варламов, error_page 403 =404 /404.html;

примеры https://serverfault.com/questions/384036/how-to-al...

[Saboteur]

Ну можете сделать редирект для вашего айпи на нужный сайт и там аллоу, а остальным редирект на несуществующую страницу

[Артём Варламов]

Да, это может сработать

[Артём Варламов]

szQocks Saboteur, После изменения конфига, при переходе на страницу она скачивает php файл, почему это происходит, или что я делаю не так?

[szQocks]

Артём Варламов, твоя проблема не относится к вопросу.
Я лишь показал пример, дал ссылку на примеры, а настраивать конфиг - сам настраивай.

[Артём Варламов]

szQocks, Формально да, блокирует неизвестные ip. Но вы же понимаете так сервер использовать нельзя, я конечно могу написать отдельный вопрос на эту тему, но если можно решить тут то давайте решим тут.

[szQocks]

Артём Варламов, ну покажи конфиг

[Артём Варламов]

szQocks,

server {
    server_name tgtrack.ru  ;
    listen 194.58.100.221:443 ssl ;

    ssl_certificate "/var/www/httpd-cert/tgtrack.ru_2023-08-13-20-41_50.crt";
    ssl_certificate_key "/var/www/httpd-cert/tgtrack.ru_2023-08-13-20-41_50.key";

    charset utf-8;

    gzip on;
    gzip_proxied expired no-cache no-store private auth;
    gzip_types text/css text/xml application/javascript text/plain application/json image/svg+xml image/x-icon;
    gzip_comp_level 1;

    set $root_path /var/www/fastuser/data/www/tgtrack.ru;
    root $root_path;
    disable_symlinks if_not_owner from=$root_path;

    location / {
        index index.php index.html;
        try_files $uri $uri/ /index.php?$args;
    }

    location ~ \.php$ {
        include /etc/nginx/fastcgi_params;
        fastcgi_pass unix:/var/run/tgtrack.ru.sock;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
        fastcgi_param DOCUMENT_ROOT $realpath_root;
     }


    location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpeg|avi|zip|gz|bz2|rar|swf|ico|7z|doc|docx|map|ogg|otf|pdf|tff|tif|txt|wav|webp|woff|woff2|xls|xlsx|xml)$ {
        try_files $uri $uri/ /index.php?$args;
    }

    location @fallback {
        fastcgi_pass unix:/var/run/tgtrack.ru.sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
    }

    include "/etc/nginx/fastpanel2-sites/fastuser/tgtrack.ru.includes";
    include /etc/nginx/fastpanel2-includes/*.conf;


    error_log /var/www/fastuser/data/logs/tgtrack.ru-frontend.error.log;
    access_log /var/www/fastuser/data/logs/tgtrack.ru-frontend.access.log;
}


server {
    server_name tgtrack.ru  ;
    listen 194.58.100.221:80;
    return 301 https://$host$request_uri;

    error_log /var/www/fastuser/data/logs/tgtrack.ru-frontend.error.log;
    access_log /var/www/fastuser/data/logs/tgtrack.ru-frontend.access.log;
}

Это весь конфиг с откатом предыдущих изменений

[szQocks]

Артём Варламов, ты просто мне скинул откатанный nginx который работал нормально ?) эм....

https://stackoverflow.com/questions/42559736/php-f...

[Артём Варламов]

szQocks, По факту разницы в конфигах нет, в нерабочий добавляется только

location ~* /wp-login\.php {
        allow разрешенный ip;
        deny all;
    }

Если что у меня воркер php-fpm 8.2

[AUser0]

Артём Варламов, добавьте в этот location строчки

include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/tgtrack.ru.sock;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;

[Артём Варламов]

AUser0, так у меня воркер php-fpm, а не fastcgi, а конфиг, который вы мне скинули похоже для fastcgi

[dodo512]

так у меня воркер php-fpm, а не fastcgi

Артём Варламов, FPM это сокращение от FastCGI Process Manager.
Ещё раз внимательно посмотрите на свой конфиг там для php такой location:

location ~ \.php$ {
    include /etc/nginx/fastcgi_params;
    fastcgi_pass unix:/var/run/tgtrack.ru.sock;
    fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
    fastcgi_param DOCUMENT_ROOT $realpath_root;
}

[Артём Варламов]

dodo512, Да, действительно, спасибо что прояснили

[Артём Варламов]

AUser0, Спасибо большое! Все работает как надо!