La sicurezza del sito web è una priorità assoluta e uno dei componenti critici da proteggere è il login di WordPress.
In WordPress, l’accesso al pannello di amministrazione e alle impostazioni generali è tradizionalmente raggiunto tramite l’URL standard www.nome-dominio.it/wp-admin. Questo però costituisce un rischio per la sicurezza, poiché tutti i siti WordPress condividono lo stesso URL di accesso al login. Questa uniformità lo rende un obiettivo facile per gli attaccanti, che possono sfruttare l’accesso comune per tentare attacchi brutal force e in caso di esito positivo, ci ritroveremmo con un sito “corrotto” o “inaccessibile“.
Per mitigare questa vulnerabilità è aumentare la sicurezza contro gli attacchi, è consigliabile modificare l’URL di accesso al login di WordPress da /wp-admin a un’altra stringa personalizzata. Questo semplice passo aggiunge un livello aggiuntivo di protezione al nostro sito web, rendendo più difficile individuare il punto di accesso al login e tentare attacchi mirati.
Per cambiare e personalizzare l’URL della pagina per il Login su WordPress possiamo utilizzare dei plugin specifici come: WPS Hide Login. Tuttavia è possibile ottenere lo stesso risultato senza utilizzare alcun plugin.
Indice
Come modificare l’URL di login WordPress utilizzando un plugin
Per cambiare l’URL di WordPress wp-admin possiamo utilizzare un semplice plugin chiamato WPS Hide Login. Il funzionamento di questo plugin è tanto semplice quanto potente.
- Andiamo su “Plugin -> Aggiungi un Nuovo Plugin e cerchiamo il Plugin WPS Hide Login” e procediamo con l’installazione.
- Una volta attivato sarà sufficiente andare in “Impostazioni -> Generali” e scorrendo verso il fondo troveremo una nuova sezione denominata WPS Hide Login.
- Nel primo campo indicheremo la nuova URL attraverso la quale il sito WordPress sarà accessibile. Nel secondo campo, invece, verrà specificato l’URL di reindirizzamento per gli utenti o i bot che tentano di accedere alle pagine /wp-admin o /wp-login.php da questo momento in avanti.
Dopo aver compilato i campi, è sufficiente salvare le impostazioni e tenere a mente il nuovo indirizzo di accesso appena creato.
La principale caratteristica di questo plugin è la sua capacità di operare senza apportare modifiche dirette al database. Invece, si limita ad intercettare le richieste, garantendo la compatibilità con altri plugin di sicurezza che potrebbero influenzare o introdurre opzioni nel processo di accesso, come ad esempio i Captchas, i tentativi di sessione e la verifica in due passaggi. Anche in caso di disattivazione di WPS Hide Login, la configurazione di WordPress rimarrà invariata, e wp-admin tornerà ad essere l’URL predefinito per l’accesso all’amministrazione del sito.
Come modificare l’URL di login WordPress senza plugin
Per personalizzare l’URL di accesso al nostro login di WordPress, dobbiamo intervenire direttamente nella root del nostro spazio di hosting. La root è la directory principale che ospita tutti i file e le cartelle di WordPress.
- Accediamo al nostro spazio di hosting e posizioniamoci nella root principale
- Individuiamo il file wp-login.php e una volta trovato, effettuiamo il download del file sul nostro computer cliccando con il tasto destro del mouse e selezionando l’opzione di download.
- Dopo aver scaricato il file, rinominiamolo e salviamolo localmente. Ad esempio, possiamo rinominare il file da wp-login.php in loginpersonalizzato.php.
- Apriamo il file con un editor di testo e prepariamoci a effettuare una “ricerca e sostituzione” (search and replace) utilizzando gli strumenti forniti dall’editor. (Nel nostro caso ho utilizzato Notepad++). Andiamo su Ricerca -> Trova, nella funzione di ricerca, inseriamo in Trova “wp-login” e nella funzione di sostituzione, inseriamo il nostro nuovo nome personalizzato “loginpersonalizzato” e clicchiamo su sostituisci tutti.
- Dopo aver completato la procedura di ricerca e sostituzione, salviamo tutto e torniamo nella root del nostro hosting e carichiamo nuovamente il file appena modificato: loginpersonalizzato.php.
- Da questo momento sarà possibile accedere alla Dashboard tramite URL personalizzata, ma sarà ancora possibile accedere anche tramite il classico wp-login.php o wp-admin.php. A questo punto, per utilizzare soltanto il percorso URL personalizzato e far sì che vengano “congelati i file wp-login.php e wp-admin php, possiamo utilizzare la seguente funzione, che verrà inserita all’interno del functions.php del nostro tema.
/*redirect wp login*/
add_action('init','custom_login');
function custom_login(){
global $pagenow;
$blogHomePage = get_bloginfo('url');
if( 'wp-login.php' == $pagenow && $_GET['action']!="logout" && $_GET['action']!="lostpassword") {
wp_redirect($blogHomePage);
exit();
}
}
/*fine redirect wp login*/
Da questo momento in poi avremo a disposizione la nostra wp-admin login url personalizzata per accedere a WordPress.
Errore; Impossibile cambiare l’URL di admin-wp: soluzione con il file .htaccess
Se il login admin di WordPress non può essere cambiato, questo è spesso perché la vostra installazione di WordPress non permette la definizione di URL “parlanti”. In questo caso, prima di personalizzare il vostro URL con il plugin, dovete aggiungere manualmente le seguenti regole mod_rewrite al vostro file .htaccess:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
