WordPress login: come nasconderlo agli hacker

WordPress-login

Subire attacchi hacker è abbastanza frequente se non si prendono le giuste precauzioni. Di recente per l’ennesima volta un attacco di Brute Force ha messo in crisi non solo milioni di siti WordPress ma anche i server provider stessi. Il nostro Hosting Provider SiteGround ha dimostrato più volte quanto sia sensibile alla prevenzione e alla sicurezza. Oggi ti voglio spiegare meglio come proteggere la tua pagina di WordPress login.


Per proteggere il tuo blog o sito WordPress è bene attuare strategie diverse. La tattica migliore è quella di effettuare azioni multiple. In questo articolo ti voglio spiegare come iniziare. Da quella più semplice che prevede una migliore protezione della tua pagina di WordPress login. Prendo un sito pubblicato qualche hanno fa, si tratta di un’installazione WordPress standard:

Questo sito abbastanza popolare genera circa 5.000 visite al mese, che non sono molte, ma guardando i suoi log, i tentativi di accesso attraverso la pagina di WordPress login sono parecchi. Dannosi e sorprendentemente regolari nel tempo. Il modulo Protect di Jetpack che ho attivato su questo sito, tiene traccia dei tentativi di accesso e dei tentativi veramente dannosi. Dal momento in cui ho aggiunto il modulo, nel marzo dello scorso anno, più di 11.600 tentativi di accesso maligni sono stati bloccati con successo. Con un rapido calcolo matematico scopro anche che i tentativi di accesso sono stati circa 800 al mese, ossia 25 al giorno. Un tentativo di accesso dannoso ogni 58 minuti.


800 accessi maligni al mese. 25 al giorno.


Che tu lo sappia o meno, probabilmente anche sul tuo sito o blog hai una statistica simile. Ecco un buon motivo per il quale devi nascondere in modo sicuro l’accesso alla tua pagina di WordPress login. Per essere più chiaro, non ti sto dicendo che una buona strategia di sicurezza si basa esclusivamente sull’oscurare delle pagine di accesso. Vedremo in altri articoli come usare password forti, i nomi degli utenti unici e l’installazione di un buon plugin che garantisca più sicurezza. Tuttavia nascondere la WordPress Login è un primo passo per una buona strategia sulla sicurezza stessa. Veniamo ora al dunque:

  1. Installa WordPress in una sottodirectory con un nome che non sia banale (es: http://miosito.com/dwiiw)
  2. Usa uno nome della directory facile da ricordare ma impossibile da indovinare per un hacker
  3. Nascondi l’accesso alla URL della pagina e di Redirect wp-login.php*

*Come sicuramente già sai, il comportamento di default di WordPress carica la pagina di login quando accedi a wp-login.php. Se digiti wp-admin, invece, verrai automaticamente reindirizzato alla pagina wp-login.php. Se hai installato WordPress in una sottodirectory, stai chiamando qualcosa di unico. Ma la verità è che in questo momento qualcuno può ancora trovare la pagina di accesso abbastanza facilmente. Che fare allora? Devi prendere ulteriori contromisure perché, anche con WordPress installato in una sottodirectory. Se l’hacker digita http://miosito.com/wp-login.php verrà re-indirizzato a http://mio.com/dwiiw/wp-login.php.

Wordpress login

WordPress login bloccato

Il passo successivo è quello di bloccare l’accesso a wp-login.php rimandando la pagina ad una pagina 404 o ad una qualsiasi pagina diversa dalla pagina di login e sostituire l’accesso con una URL personalizzata. Che sarà difficile da indovinare. http://mio.com/dwiiw/gli. In questo caso, “gli” è uno stand-in per ottenere l’accesso, facile da ricordare e difficile da indovinare.

Utilizza un plugin per bloccare davvero l’accesso a wp-login.php e impostare un URL di accesso personalizzato. Ci sono diversi plugin per WordPress che è possibile usare allo scopo:


Conclusioni

Se hai correttamente seguito i miei suggerimenti avrai WordPress installato in una sottodirectory che assomiglia a qualche cosa di questo tipo: http://miosito.com/dwiiw. Inoltre avrai creato anche un accesso personalizzato e bloccato l’accesso a wp-login.php. Come risultato, ora avrai una URL di accesso completamente personalizzata e che nessun altro potrà indovinare.

Questo semplice tattica non garantisce contro i tentativi di accesso, ma renderà la tua pagina di login quasi invisibile per la maggioranza dei drive-byVero è che l’oscurità da sola non fornisce una sicurezza adeguata. Tuttavia, quando viene utilizzata come parte di una strategia di sicurezza completa può essere davvero molto utile. Gestione WP, il primo sito italiano di assistenza WordPress e realizzazione siti web mette in campo ottime contromisure. Niccolò Perazza è il nostro “Security man”, chiedici un preventivo! Gestione WP è a tua disposizione per aiutarti a scongiurare qualsiasi tentativo di login sospetto.


Ti serve assistenza WordPress? Siamo a disposizione per offrirti una consulenza GRATUITA, naviga questo sito e scopri le nostre offerte dedicate all’ottimizzazione del tuo sito web ma anche alla corretta indicizzazione su Google. Non esitare a contattarci!

Print Friendly

Vuoi un sito web veloce e sicuro?

Scopri la nostra offerta!

PASSA A SITEGROUND

© 2017 Gestione WP | Tutti i diritti riservati

Grazie per averci inviato la tua email.