Vai alla home page

WordPress login: come nasconderlo

WordPress login

Subire attacchi hacker è abbastanza frequente se non si prendono le giuste precauzioni. Di recente per l’ennesima volta un attacco DoS ha messo in ginocchio non solo milioni di siti WordPress ma anche i server provider stessi. Il nostro Hosting Provider SiteGround ha dimostrato più volte quanto sia sensibile alla prevenzione e alla sicurezza, ma per un hacker incallito sembra che nulla sia impossibile, o quasi… Oggi ti voglio spiegare meglio come proteggere la tua pagina di WordPress login.

Tutti gli utenti WordPress conoscono la pagina di WordPress login. Attraverso il semplice inserimento di una user ID e una Password possiamo entrare nel fantastico modo di WordPress e qualche volta questo lo fanno anche maldestri hacker che, se non opportunamente bloccati dal nostro hosting provider, possono provocare danni seri al nostro lavoro, anche entrando sul sito proprio dalla pagina di login. Vediamo in questo articolo come porvi rimedio in modo semplice ma efficace.


WordPress login: come nasconderlo

Quello che abbiamo già visto nei film, sta succedendo sempre più frequentemente nella realtà. Attacchi DoS (Denial of service) internazionali mettono in pericolo la sicurezza dei nostri dati online. Come fare per tutelarsi “nel nostro piccolo” contro per esempio, login anonimi? Se attivi il nostro account SiteGround il problema sembra superato. L’hosting provider, infatti, è particolarmente sensibile alla sicurezza dei nostri dati e ce lo dimostra in questo articolo: Sito web protetto con SiteGround. In altri casi voglio spiegarti meglio cosa fare per proteggere l’accesso al tuo sito web o blog.


800 accessi maligni al mese. 25 al giorno.

Per proteggere il tuo blog o sito WordPress è bene attuare strategie diverse. La tattica migliore è quella di effettuare azioni multiple. In questo articolo ti voglio spiegare come iniziare. Da quella più semplice, che prevede una migliore protezione della tua pagina di WordPress login. Prendo un sito pubblicato qualche hanno fa, si tratta di un’installazione WordPress standard.

Questo sito abbastanza popolare genera circa 5.000 visite al mese, che non sono molte, ma guardando i suoi log, i tentativi di accesso attraverso la pagina di WordPress login sono parecchi. Dannosi e sorprendentemente regolari nel tempo. Il modulo Protect di Jetpack che ho attivato su questo sito, tiene traccia dei tentativi di accesso e dei tentativi veramente dannosi. Dal momento in cui ho aggiunto il modulo, nel marzo dello scorso anno, più di 11.600 tentativi di accesso maligni sono stati bloccati con successo. Con un rapido calcolo matematico scopro anche che i tentativi di accesso sono stati circa 800 al mese, ossia 25 al giorno. Un tentativo di accesso dannoso ogni 58 minuti.


Come nascondere il login

Che tu lo sappia o meno, probabilmente anche sul tuo sito o blog hai una statistica simile. Ecco un buon motivo per il quale devi nascondere in modo sicuro l’accesso alla tua pagina di WordPress login. Per essere più chiaro, non ti sto dicendo che una buona strategia di sicurezza si basa esclusivamente sull’oscurare delle pagine di accesso. Vedremo in altri articoli come usare password forti, i nomi degli utenti unici e l’installazione di un buon plugin che garantisca più sicurezza. Tuttavia nascondere la pagina di WordPress login è un primo passo per una buona strategia sulla sicurezza stessa. Veniamo ora al dunque:

  • Installa WordPress in una sottodirectory con un nome che non sia banale (es: http://miosito.com/dwiiw)
  • Usa uno nome della directory facile da ricordare ma impossibile da indovinare per un hacker
  • Nascondi l’accesso alla URL della pagina e di redirect wp-login.php*

*Come sicuramente già sai, il comportamento di default di WordPress carica la pagina di login quando accedi a wp-login.php. Se digiti wp-admin, invece, verrai automaticamente reindirizzato alla pagina wp-login.php. Se hai installato WordPress in una sotto directory, stai chiamando qualcosa di unico. Ma la verità è che in questo momento qualcuno può ancora trovare la pagina di accesso abbastanza facilmente. Che fare allora? Devi prendere ulteriori contromisure perché, anche con WordPress installato in una sotto directory. Se l’hacker digita http://miosito.com/wp-login.php verrà re-indirizzato a http://mio.com/dwiiw/wp-login.php.

Wordpress login

“La pagina di accesso a WordPress tramite login.”


WordPress login plugin

Il passo successivo è quello di bloccare l’accesso a wp-login.php rimandando la pagina ad una pagina 404 o ad una qualsiasi pagina diversa dalla pagina di login e sostituire l’accesso con una URL personalizzata. Che sarà difficile da indovinare. http://mio.com/dwiiw/gli. In questo caso, “gli” è uno stand-in per ottenere l’accesso, facile da ricordare e difficile da indovinare.

Utilizza un plugin per bloccare davvero e in modo sicuro l’accesso a wp-login.php e impostare un URL di accesso personalizzato. Ci sono diversi plugin per WordPress che è possibile usare allo scopo:


Questa semplice tattica non garantisce contro i tentativi di accesso, ma renderà la tua pagina di login quasi invisibile per la maggioranza dei drive-byVero è che l’oscurità da sola non fornisce una sicurezza adeguata. Tuttavia, quando viene utilizzata come parte di una strategia di sicurezza completa può essere davvero molto utile.


WordPress login page

Personalizzare la pagina di login può essere utile quando realizziamo un sito web aziendale dove il cliente vuole mantenere il proprio Look & Feel. Usando per esempio il proprio logo al posto di quello di default di WordPress. Anche in questo caso possiamo ricorrere all’uso di un semplice plugin: Login Logo. Nulla di più semplice!


Conclusioni

Se hai correttamente seguito i miei suggerimenti avrai WordPress installato in una sotto directory che assomiglia a qualche cosa di questo tipo: http://miosito.com/dwiiw. Inoltre avrai creato anche un accesso personalizzato e bloccato l’accesso a wp-login.php. Come risultato, ora avrai una URL di accesso completamente personalizzata e che nessun altro potrà indovinare. Se hai bisogno di assistenza WordPress contattaci. La tua prima consulenza è GRATUITA. Stay tuned, Gestione WP.


Richiedi l'analisi gratuita del tuo sito web, blog o eCommerce

ANALISI SITO

Assistenza WordPress | SEO | Siti web