WordPress login: come nasconderlo | Assistenza WordPress
Mostra tutto

WordPress login: come nasconderlo agli hacker

WordPress login

Subire attacchi hacker è abbastanza frequente se non si prendono le giuste precauzioni. Di recente per l’ennesima volta un attacco DoS ha messo in ginocchio non solo milioni di siti WordPress ma anche i server provider stessi. Il nostro Hosting Provider SiteGround ha dimostrato più volte quanto sia sensibile alla prevenzione e alla sicurezza, ma per un hacker incallito sembra che nulla sia impossibile, o quasi… Oggi ti voglio spiegare meglio come proteggere la tua pagina di WordPress login.


Quello che abbiamo già visto nei film, sta succedendo sempre più frequentemente nella realtà. Attacchi DoS (Denial of service) internazionali mettono in pericolo la sicurezza dei nostri dati online. Come fare per tutelarsi “nel nostro piccolo” contro per esempio, login anonimi? Se attivi il nostro account SiteGround il problema sembra superato. L’hosting provider, infatti, è particolarmente sensibile alla sicurezza dei nostri dati e ce lo dimostra in questo articolo: Sito web protetto con SiteGround. In altri casi voglio spiegarti meglio cosa fare per proteggere l’accesso al tuo sito web o blog.

Per proteggere il tuo blog o sito WordPress è bene attuare strategie diverse. La tattica migliore è quella di effettuare azioni multiple. In questo articolo ti voglio spiegare come iniziare. Da quella più semplice, che prevede una migliore protezione della tua pagina di WordPress login. Prendo un sito pubblicato qualche hanno fa, si tratta di un’installazione WordPress standard.

Questo sito abbastanza popolare genera circa 5.000 visite al mese, che non sono molte, ma guardando i suoi log, i tentativi di accesso attraverso la pagina di WordPress login sono parecchi. Dannosi e sorprendentemente regolari nel tempo. Il modulo Protect di Jetpack che ho attivato su questo sito, tiene traccia dei tentativi di accesso e dei tentativi veramente dannosi. Dal momento in cui ho aggiunto il modulo, nel marzo dello scorso anno, più di 11.600 tentativi di accesso maligni sono stati bloccati con successo. Con un rapido calcolo matematico scopro anche che i tentativi di accesso sono stati circa 800 al mese, ossia 25 al giorno. Un tentativo di accesso dannoso ogni 58 minuti.


800 accessi maligni al mese. 25 al giorno.


Che tu lo sappia o meno, probabilmente anche sul tuo sito o blog hai una statistica simile. Ecco un buon motivo per il quale devi nascondere in modo sicuro l’accesso alla tua pagina di WordPress login. Per essere più chiaro, non ti sto dicendo che una buona strategia di sicurezza si basa esclusivamente sull’oscurare delle pagine di accesso. Vedremo in altri articoli come usare password forti, i nomi degli utenti unici e l’installazione di un buon plugin che garantisca più sicurezza. Tuttavia nascondere la pagina di WordPress login è un primo passo per una buona strategia sulla sicurezza stessa. Veniamo ora al dunque:

  1. Installa WordPress in una sottodirectory con un nome che non sia banale (es: http://miosito.com/dwiiw)
  2. Usa uno nome della directory facile da ricordare ma impossibile da indovinare per un hacker
  3. Nascondi l’accesso alla URL della pagina e di redirect wp-login.php*

*Come sicuramente già sai, il comportamento di default di WordPress carica la pagina di login quando accedi a wp-login.php. Se digiti wp-admin, invece, verrai automaticamente reindirizzato alla pagina wp-login.php. Se hai installato WordPress in una sotto directory, stai chiamando qualcosa di unico. Ma la verità è che in questo momento qualcuno può ancora trovare la pagina di accesso abbastanza facilmente. Che fare allora? Devi prendere ulteriori contromisure perché, anche con WordPress installato in una sotto directory. Se l’hacker digita http://miosito.com/wp-login.php verrà re-indirizzato a http://mio.com/dwiiw/wp-login.php.

Wordpress login

“La pagina di accesso a WordPress tramite login.”


WordPress login bloccato

Il passo successivo è quello di bloccare l’accesso a wp-login.php rimandando la pagina ad una pagina 404 o ad una qualsiasi pagina diversa dalla pagina di login e sostituire l’accesso con una URL personalizzata. Che sarà difficile da indovinare. http://mio.com/dwiiw/gli. In questo caso, “gli” è uno stand-in per ottenere l’accesso, facile da ricordare e difficile da indovinare.

Utilizza un plugin per bloccare davvero e in modo sicuro l’accesso a wp-login.php e impostare un URL di accesso personalizzato. Ci sono diversi plugin per WordPress che è possibile usare allo scopo:


Conclusioni

Se hai correttamente seguito i miei suggerimenti avrai WordPress installato in una sotto directory che assomiglia a qualche cosa di questo tipo: http://miosito.com/dwiiw. Inoltre avrai creato anche un accesso personalizzato e bloccato l’accesso a wp-login.php. Come risultato, ora avrai una URL di accesso completamente personalizzata e che nessun altro potrà indovinare.

Questo semplice tattica non garantisce contro i tentativi di accesso, ma renderà la tua pagina di login quasi invisibile per la maggioranza dei drive-byVero è che l’oscurità da sola non fornisce una sicurezza adeguata. Tuttavia, quando viene utilizzata come parte di una strategia di sicurezza completa può essere davvero molto utile. Se hai bisogno di assistenza WordPress contattaci. La tua prima consulenza è GRATUITA. Maggiori informazioni: info@gestionewp.it.

Print Friendly, PDF & Email
Marcello Moresco
Marcello Moresco
Marcello Moresco è un Visual Designer - SEO SpecialistMarcello Moresco è specializzato nella realizzazione di nuovi progetti di comunicazione 2.0. Gestisce il gruppo Facebook: Wordpress facile e si occuperà di rinnovare la tua immagine digitale. CEO e project manager di Gestione WP gestisce questo sito web e tutti i servizi assieme agli altri professionisti del team Gestione WP. Contattaci per una consulenza GRATUITA! Risponderemo subito studiando assieme le migliori soluzioni.



Prenditi una pausa caffè.
A tutto il resto ci pensiamo noi!


Assistenza WordPress · SEO · Corso WordPress
Restyling sito web · Nuovo sito web WordPress · eCommerce 
Marketing e comunicazione online e offline


© 2017 Gestione WP | info@gestionewp.it