featured-image

WordPress: proteggere l’accesso al back-end

wordpress-security-lockIn un precedente articolo ci eravamo occupati di un plugin per Joomla che permette di cambiare l’url di accesso al back-end (il pannello di amministrazione), plugin analoghi esistono anche per WordPress e se ne consiglia l’installazione con alcuni accorgimenti.

Il plugin più semplice da installare e configurare si chiama hc-custom-wp-admin-url: con questo plugin è possibile modificare wp-admin e wp-login.php su qualsiasi scelta, rendendo impossibile per gli hacker di accedere alla pagina di login di amministrazione in quanto loro conoscono solo l’url di default

Infatti, invece di www.tuodominio.com/wp-admin/ e www.tuodominio.com/wp-login.php si potrà impostare un indirizzo del tipo www.tuodominio.com/cosavuoitu

Semplice da usare, una volta installato la sua configurazione avviene accedendo alla sezione Impostazioni -> permalink nella parte chiamata WP-Admin page slug: tutto quello che si dovrà fare è scrivere il proprio slug WP Admin desiderato e salvare le impostazioni.

hc-custom-wp-admin-url

Impostando come nell’immagine qui sopra il WP-Admin page slug in “secret-login” la pagina di autenticazione (di login) sarà www.tuodominio.com/secret-login

L’altro plugin che si può utilizzare per cambiare l’url di autenticazione, che contiene inoltre numerose ulteriori opzioni di sicurezza, è BETTER WP SECURITY: dopo averlo installato è sufficiente entrare nel suo pannello di configurazione (Menu a sinistra, voce di menu Security), andare nel TAB HIDE e spuntare la casella Enable Hide Backend per attivare il cambio dell’URL di login, quindi modificare i campi Login SlugRegister Slug e Admin Slug per cambiare l’URL della pagina di login e di registrazione per i nuovi utenti e salvare cliccando sul pulsante Save Changes.

better-wp-security

BETTER WP SECURITY permette anche la configurazione di diverse altre opzioni di sicurezza, consigliamo tra le tante quella di cambiare nome dell’amministratore (solitamente admin), come suggerito in questo altro nostro articolo, di cambiare il prefisso delle tabelle del database MySQL (dopo aver eseguito un backup del database MySQL!) e – se non si utilizzano altri plugin appositi come ad esempio quello descritto in questo altro nostro articolo – di impostare nella sezione apposita (TAB BAN)  il blocco dell’IP dopo un certo numero di tentativi di autenticazione con user e/o passowrd errati.

ATTENZIONE: per entrambi i plugin è necessario ricordarsi della nuova URL dell’amministratore, altrimenti si rischia di non trovare più la pagina di autenticazione!

Dopo la disconnessione (Logout)  si può provare ad andare al vecchio indirizzo http://www.nome-blog.it/wp-admin/.:  se tutto è corretto dovrebbe comparire la pagina 404 (pagina non trovata).

ATTENZIONE: ovviamente si dovrà fornire il nuovo indirizzo di login a tutti i tuoi utenti (se esistono), altrimenti anche loro vedranno comparire sempre e solo la pagina 404.

Possibili problemi:

Potrebbero verificarsi problemi se è attivato il plugin W3 Total Cache (o altri plugin che gestiscono la cache del sito) che fa apparire a video l’errore “Devi farti autorizzare per accedere a questa pagina.” In questo caso dovrebbe essere sufficiente svuotare la cache del plugin W3 Total Cache (o di altri plugin che gestiscono la cache eventualmente installati) ed effettuare il Logout e Login affinché tutto ritorni nella normalità.

Nel caso si dovesse bloccare tutto, è necessario accedere tramite FTP al blog ed eliminare la cartella wp-content/plugins/better-wp-security/… in questo modo si elimina il plugin e si dovrebbe ritornare alla situazione pre-installazione del plugin.

Ulteriore problema con il permalink relativo a page not found viene trattato in questo ticket che suggerisce di:

  1. disattivare il plugin
  2. impostare il permalink predefinito
  3. riattivare il plugin
  4. impostare la struttura del permalink personalizzata o quella tra le opzioni proposte che si preferisce.

 

Come consuetudine, terminiamo questo articolo con la segnalazione che se questa guida vi è piaciuta, un commento, un “mi piace”, una condivisione è per noi una gradita ricompensa 🙂

 

Post Your Comment

CYBERSPAZIO WEB HOSTING di Mattiuzzi Marco | Partita I.V.A. 02131900025 | Codice Fiscale MTTMRC55M30L750R | PEC cyberspazio@pec-email.it |