这不是保护你的WP管理员的最好方法。IP可能被欺骗。此方法还将您限制在特定的IP上，如果您希望从其他办公室/位置访问它，这可能会很烦人。

我建议在wp admin目录上使用基于服务器的简单密码保护。当然，缺点是这要求您记住密码，或者使用非常安全的基于web的集中式密码系统，只需记住一个密码即可。

阅读以下说明：http://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/

最好的办法是进行双因素身份验证，即先输入密码，然后向手机发送短信，或者类似的双步骤过程。

每个人都没有一个单一的答案，但我相信在大多数情况下，必须在实用性和严密的安全性之间取得平衡。

如果你真的想关掉它，deny all 在htaccess中，然后在任何时候都可以通过SSH连接到服务器，以临时允许从您使用的特定IP访问，并在完成后将其更改回来-您可以将其与双因素身份验证结合起来，我怀疑任何东西都无法通过。

暴力攻击通常依赖于向您的wp登录发送直接POST请求。php，因此要求您的域是任何POST请求的参考者可以帮助阻止机器人程序。

另一种保护WordPress站点的方法是，添加登录链接，然后只允许来自域名的登录请求。（更换example.com 使用您的域）。

<IfModule mod_rewrite.c> 
RewriteEngine on 
RewriteCond %{REQUEST_METHOD} POST 
RewriteCond %{HTTP_REFERER} !^http://(.*)?example.com [NC] 
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR] 
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ 
RewriteRule ^(.*)$ - [F] 
</IfModule>

<Files ~ "xmlrpc.php"> 
Order allow,deny 
Deny from all 
</Files>