wp-login.phpにIP制限をかけ、特定のURLだけアクセスを許可したい

前置き

Nginx初心者です。
現在、WordPressサイトをKusanagi(Nginx)を使って作成しております。
Nginxのconfを使ってWordPressのダッシュボードにIPアドレスによる制限を追加しました。
設定ファイルは次の通りです。Basic認証は使用しないのでコメントアウトしております。

location ~* /wp-login.php|/wp-admin/((?!(admin-ajax.php|images/)).)*$ {
	satisfy any;
	allow [ここに許可するIPアドレス];
	allow 127.0.0.1;
	deny all;
	#auth_basic "basic authentication";
	#auth_basic_user_file  "/home/kusanagi/.htpasswd";
	location ~ [^/].php(/|$) {
		fastcgi_split_path_info ^(.+?.php)(/.*)$;
		if (!-f $document_root$fastcgi_script_name) {
			return 404;
		}
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
		include fastcgi_params;
		fastcgi_buffers 256 128k;
		fastcgi_buffer_size 128k;
		fastcgi_intercept_errors on;
		fastcgi_read_timeout 120s;
	}
	include conf.d/security.conf;
}

これにより、IPアドレスによるアクセスを問題なく /wp-login.php（wp-admin） にかけれました。

やりたいこと

wp-login.php上の一部のURLのみ例外としてアクセスを許可したい。
例） /wp-login.php?action=logout&12345
にアクセスした場合はIPアドレスによる制限を解除して実行させたいのですがこちらは可能でしょうか？
12345の箇所は動的なので出来ればそれ以降は*みたいな形で対応出来ればと思います。

どなたかご教授頂ければ幸いです。

行動規範の内容に同意します

回答1件

ルールの順番ですが，

１，wp-login.phpへのアクセスをすべてallow
２，マッチするURLをallow
３，その他のURLをDeny

先に拒否をしてしまうと，穴は開けれないです

投稿2019/02/16 04:39

DaichiYasuda

総合スコア173

MATRIX

2019/02/16 05:26

ご回答ありがとうございます。なるほどですね！この場合だと禁止したい物を全て記載していく形となるので抜けがあればセキュリティ的にどうしても抜け道が出てしまうかと思います... できれば全て禁止して例外のみを追加したいと考えておりました。

DaichiYasuda

2019/02/17 06:45

>この場合だと禁止したい物を全て記載していく形となるので抜けがあればセキュリティ的にどうしても抜け道が出てしまうかと思います... 逆ですね！許可するものをすべて記載して，その他は拒否するのでセキュリティ的には大丈夫かと

MATRIX

2019/02/19 07:48

ご回答ありがとうございます。なるほど！ルールに関して承知致しました。ご教授頂いた方法で一度やってみたいと思います。

ozwind918

2019/02/19 08:25

Nginxに詳しくはないのですが、こちらの回答は間違っているのではないかと感じます。 https://docs.nginx.com/nginx/admin-guide/web-server/web-server/ やhttps://qiita.com/aosho235/items/1acf65246d2a36661021 に記載されているlocationの評価順序は関係ないんでしょうか。私の認識が間違っていたらその旨コメントください。

行動規範の内容に同意します