La sicurezza di un sito WordPress non si limita alle preferenze, ma è fondamentale per ottenere un sito web resistente. In questo articolo viene illustrata l’importanza di cambiare l’URL di accesso a WordPress, mettendo in evidenza i rischi legati alla scelta del percorso predefinito, e viene illustrata la procedura per poterlo modificare da soli tramite plugin oppure modificando il file .htaccess
Perché cambiare l’URL di accesso di WordPress?
La modifica dell’URL di accesso a WordPress è importante per la sicurezza: i percorsi predefiniti come /wp-admin/ e /wp-login.php ampiamente conosciuti e presi di mira da bot automatici che tentano di indovinare nomi utente e password, con conseguenti attacchi brute force (giusto recentemente Wordfence mi ha segnalato diverse ondate di attacchi su questo sito). Per proteggere bene il vostro sito potete utilizzare una password complessa (vi consiglio la generazione tramite Google Chrome oppure tramite il sito Passwordsgenerator.net), oppure cambiando l’URL per accedere alla bacheca di WordPress.
Cambiare l’URL di accesso a WordPress modificando il file .htaccess
Metodo 1: creazione alias
È possibile cambiare l’URL della pagina di accesso utilizzando il modulo mod_rewrite in un server Apache.
Per farlo, aggiungila riga seguente al file .htaccess (sostituisci ‘nuovapaginaaccesso’ con qualsiasi alias e cambia l’URL esempio.com con il tuo dominio):
RewriteRule ^nuovapaginaaccesso$ http://www.esempio.com/wp-login.php [NC,L]In questo esempio, aggiungeremo un alias chiamato “accedi” e ricaricheremo il file .htaccess sul server:
RewriteRule ^accedi$ http://www.esempio.com/wp-login.php [NC,L]
# BEGIN WordPress
# The directives (lines) between "BEGIN WordPress" and "END WordPress" are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPressIl metodo non va a cambiare l’URL di accesso predefinito di WordPress, ma si limita a creare un alias che consente agli utenti di accedere alla propria bacheca di WordPress utilizzando un indirizzo web più facile da ricordare rispetto a https://esempio.com/wp-login.php.
Metodo 2:
Un’altra soluzione è quella di rendere inaccessibile la pagina di accesso, lasciandola visibile solo a un determinato indirizzo IP. ATTENZIONE: si tratta di una procedura molto rischiosa, il sito potrebbe essere inaccessibile se non si è certi dell’indirizzo IP e di come operare.
Dopo aver aperto il file .htaccess, si deve incollare il seguente codice:
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>Bisogna sostituire xxx.xxx.xxx.xxx con l’IP da cui deve essere consentito l’accesso; in caso di difficoltà, si potrebbe utilizzare il plugin Restricted Site Access per configurare l’accesso.
Cambiare l’URL di accesso a WordPress utilizzando dei plugin
I plugin offrono un’interfaccia intuitiva che non richiede conoscenze a livello di programmazione, per cui è possibile utilizzarli anche da parte di coloro che hanno conoscenze tecniche limitate navigare senza problemi tra le impostazioni del plugin, inoltre l’interfaccia grafica semplifica l’intero processo, rendendolo accessibile a utenti con diversi livelli di competenza.
Per chi non è programmatore e quindi non sa dove “mettere le mani”, il rischio di errori può essere elevato quando si modifica manualmente il codice; i plugin riducono al minimo questo rischio, facendo in modo che si possano apportare modifiche senza il timore di eventuali errori.
Oltre alla funzione principale di modifica dell’URL di accesso, molti plugin offrono funzioni di sicurezza supplementari: ad esempio, meccanismi per limitare i tentativi di accesso, applicare regole di password robuste o bloccare gli indirizzi IP considerati sospetti.
La flessibilità è un aspetto fondamentale dell’uso dei plugin: se dovesse esserci la necessità di tornare all’URL di accesso predefinito o apportare ulteriori modifiche, i plugin possono offrire un modo semplice per farlo, garantendo la possibilità di adattare le misure di sicurezza senza dover affrontare processi macchinosi.
WPS Hide Login
In questo articolo, utilizzerò WPS Hide Login, un plugin molto famoso con oltre un milione di installazioni.
Utilizzando questo plugin, gli hacker che cercheranno di “bucare” un sito avranno difficoltà nell’individuare la pagina di accesso: tutti i bot che cercheranno la pagina /wp-admin del sito troveranno immediatamente un punto di blocco, poiché non incontreranno alcun modulo di login e si ritroveranno invece un errore 404.
Vediamo ora come puoi implementare la funzionalità offerta da questo plugin anche sul tuo sito.
Passo 1: Attivare il plugin
Installa e attiva il plugin WPS Hide Login dal repository di WordPress.
Passo 2: Apri il plugin
1. Nel menu verticale di WordPress, vai in Impostazioni > WPS Hide Login per aprire il plugin.
2. Come impostazione predefinita WPS Hide Login mette login come nuovo nome per la pagina di accesso, e rimanda alla pagina dell’Erorre 404 per l’URL di reindirizzamento.
3. Dopo aver personalizzato l’URL di accesso e quello di reindirizzamento, è possibile fare clic su Salva le modifiche.
ATTENZIONE: è importante che il nome della nuova pagina di accesso al sito venga salvato, altrimenti non si riuscirebbe a accedere al sito se non disattivando il plugin da FTP.
4. Dopo aver salvato, il consiglio è quello di testare con un altro browser per verificare il perfetto funzionamento del nuovo URL della pagina di accesso prima di effettuare il nuovo login.
Consigli nell’utilizzo del plugin WPS Hide Login
1. Disattivare la cache per la pagina di accesso
Se è stato installato un plugin di caching (tipo W3 Total Cache, o anche altri), è importante assicurarsi che la nuova pagina di accesso venga esclusa dalla cache: il rischio è quello di avere problemi di accesso al sito.
2) Possibili problemi con il file .htaccess
Se il file .htaccess è stato modificato manualmente o tramite plugin, WPS Hide Login potrebbe causare errori nel caricamento della nuova pagina di accesso.
3) Installare un plugin per limitare il numero di tentativi di accesso
WPS Hide Login offre una ottima soluzione per nascondere la pagina di accesso di un sito WordPress, ma i bot sono molto scaltri e potrebbero arrivarci dopo un po’ di tempo. Una ulteriore protezione è un plugin che vada a limitare il numero di tentativi consentiti sul sito, con la possibilità di escludere l’accesso per un tempo da stabilire. Un ottimo plugin è Loginizer, utilizzato solitamente per la protezione da attacchi brute force, per i log dei tentativi di accesso falliti e per il controllo degli IP sui siti WordPress.
