featured-image

WordPress: proteggere il pannello di amministrazione con .htaccess

wordpress-protettoE’ possibile rendere un sito web realizzato con WordPress più sicuro attivando un file .htaccess per la directory /wp-admin/ in modo che per accedere alla bacheca sarà necessario effettuare due volte il login, uno per l’autenticazione su WordPress e un altro per poter accedere alla directory che contiene i file del pannello di amministrazione (bacheca) di WordPress.

Questa doppia autenticazione impedisce notevolmente a terzi di entrare senza permesso all’amministrazione del sito rendendo così molto improbabili attacchi brute-force.

Un file .htaccess è un file di configurazione con al suo interno del codice che ha effetto sulla directory che lo contiene, purchè questo sito  sia residente su un webserver compatibile, come ad esempio nei webserver Apache utilizzati da Cyberspazio WEB Hosting.

Associando questo file .htaccess con il file .htpasswd che conterrà l’username e la relativa password (quest’ultima criptata) si avrà modo di proteggere tutta la directory /wp-admin/ e le sue sottocartelle.

Per creare un file .htacces e .htpasswd è necessario solo di un editor di testo come Notepad. Il codice da inserire si può facilmente ricavare tramite il nostro Generatore .htaccess appositamente creato per WordPress 

Da segnalare che alcuni plugin o temi potrebbero richiamare file posti all’interno della cartella  /wp-admin/ causando così dei problemi di visualizzazione (ci sarebbero continue richieste di inserimento username/password) oppure creando dei malfunzionamenti. Per evitare tutto questo sono stati aggiunti altri comandi nel file .htaccess appositamente per ovviare a questo problema.

ATTENZIONE

Questa protezione della cartella /wp-admin/ impedisce l’accesso alla bacheca, se non si conosce username e password per l’autenticazione HTTP, anche agli eventuali utenti registrati e non solo agli amministratori. Per questa ragione va applicata SOLO ED ESCLUSIVAMENTE nel caso si non si desidera avere utenti registrati oltre che agli amministratori.

[iframe src=”/utility/htaccess-generator-password-wp.php” width=”100%” height=”950″]

I file .htacces e .htpasswd dovranno essere caricati tramite FTP in modalità ASCII all’interno della cartella /wp-admin/ per attivare questa protezione: quando si accederà alla propria bacheca sarà richiesta l’autenticazione HTTP::

maschera-protezione

 >> APPROFONDIMENTI <<

1) Ricavare il percorso assoluto della cartella da proteggere:

Se non si fosse a conoscenza del percorso assoluto (path) della directory da proteggere, si può creare un file info.php con il seguente codice:

<?php phpinfo() ; ?>

Il file dovrà essere caricato sul proprio sito all’interno della directory di cui si desidera sapere il percorso assoluto, e una volta lanciato da un browser questa pagina elencherà tutte le informazioni su PHP in uso. Sarà sufficiente scorrere le varie righe fino a trovare nella colonna di sinistra il termine  _SERVER[“SCRIPT_FILENAME”]  per reperire nella colonna di destra il percorso assoluto, quello da indicare – ovviamente escludendo il nome del file – nel nostro generatore di codice .htaccess

 

Post Your Comment

CYBERSPAZIO WEB HOSTING di Mattiuzzi Marco | Partita I.V.A. 02131900025 | Codice Fiscale MTTMRC55M30L750R | PEC cyberspazio@pec-email.it |