Se stiamo utilizzando WordPress per gestire un blog o un sito web, è essenziale essere consapevoli delle potenziali vulnerabilità del CMS che potrebbero mettere a rischio la sicurezza dei nostri sito.
Un punto critico di possibile attacco può essere la directory wp-admin, che rappresenta il nucleo operativo di un sito realizzato con WordPress. Da qui possiamo gestire contenuti, personalizzare l’aspetto e aggiungere funzionalità al nostro sito web. Date queste considerazioni, è fondamentale adottare misure per proteggere questa area vitale da tentativi di hacking e accessi non autorizzati.
Per mitigare tali minacce, è consigliabile proteggere l’accesso alla cartella di amministrazione (wp-admin) utilizzando una password distinta da quella di WordPress. Questo può essere possibile utilizzando il meccanismo integrato di Apache, il server web su cui si basa WordPress assegnando una password alla cartella di amministrazione. Sebbene la directory wp-admin sia già protetta da password di base, aggiungere un ulteriore livello di autenticazione può significativamente aumentare la sicurezza del nostro sito web.
Di seguito, esamineremo due metodi per proteggere efficacemente la directory wp-admin.
Indice
Primo metodo – Proteggiamo con una password la cartella wp-admin dalla dashboard dell’hosting web
Il modo più semplice per proteggere con password la cartella wp-admin è tramite l’applicazione di gestione dei file di hosting di WordPress.
Nota: la maggior parte degli host web che utilizzano cPanel, come Netsons, Siteground, ecc seguiranno questi passaggi. Tuttavia, la tua dashboard potrebbe differire leggermente dagli screenshot che seguono, a seconda del tuo provider di hosting.
- Accediamo alla dashboard del tuo account di hosting.
- Troviamo la sezione “File” e all’interno di questa sezione cerchiamo l’opzione “Privacy directory”.
- Individuiamo la cartella che contiene i file del nostro sito web. Per la maggior parte dei siti web, la cartella si trova in public_html. Una volta individuata la cartella, clicchiamo su di essa per visualizzare i file del nostro sito web presenti sul server.
- Cerchiamo e clicchiamo sulla cartella che porta il nome del dominio del nostro sito web. All’interno di questa cartella, individuiamo la cartella wp-admin e clicchiamo sul pulsante di lato “Modifica”.
- Verremo indirizzati all’interno di una schermata dove potremmo attivare la protezione con password, selezioniamo la casella “Proteggi questa directory con password” e assegniamo un nome alla directory.
Una volta fatto, clicchiamo su “Salva”.
- A questo punto, verremmo reindirizzato a una nuova schermata dove potremmo creare un utente che avrà accesso a questa directory. Inseriamo il nome utente e la password che desideriamo, assicurandoci di annotarle in un luogo sicuro.
Una volta completata questa procedura, ogni volta che accederemo al nostro sito, ci verrà richiesto di inserire il nome utente e la password che abbiamo creato per poi accedere alla voce wp-admin.
Secondo metodo – proteggiamo con password la cartella wp-admin creando manualmente i file .htaccess e .htpasswd
Possiamo anche proteggere la cartella wp-admin creando i file .htaccess e .htpasswd all’interno della cartella wp-admin nel nostro Hosting.
- Creiamo un file di testo è rinominiamolo come segue .htpasswd all’interno della cartella wp-admin del nostro sito.
- Dopo aver creato il file, utilizzeremo un generatore di password .htpasswd. Semplicemente inseriamo il nome utente e la password desiderata per proteggere la cartella wp-admin. Successivamente, verrà generato un record da copiare all’interno del nostro file .htpasswd. Questo generatore di htpasswd crea una password con hash utilizzando l’algoritmo MD5.
- Copiamo e incolliamo il nostro record generato nel file .htpasswd.
Una volta creato il file .htpasswd, procediamo con la creazione del file .htaccess.
- Creiamo un file di testo è rinominiamolo come segue .htaccess all’interno della cartella wp-admin del nostro sito e aggiungiamo il codice seguente:
AuthName "Admins Only" AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd AuthGroupFile /dev/null AuthType basic require user yourusername
- Dobbiamo assicurarci di modificare la riga “AuthUserFile”, sostituendo il percorso attualmente presente nel codice con quello del nostro file htpasswd creato in precedenza. Inoltre, dobbiamo inserire il nome utente che abbiamo scelto in precedenza nel campo ‘Require user’.
Se riscontriamo difficoltà nell’identificare il percorso completo, possiamo utilizzare un file PHP per farlo. Creiamo un nuovo file PHP all’interno della cartella wp-admin, lo salviamo con il nome test.php e inseriamo il seguente codice al suo interno:
<?php echo __FILE__; ?>
Lanciando questo file nel nostro browser, otterremo il percorso completo della directory wp-admin. Questo ci consentirà di impostare correttamente il percorso nel file .htaccess.
Una volta completati questi passaggi, la directory wp-admin sarà protetta con una password aggiuntiva, contribuendo a migliorare la sicurezza del nostro sito WordPress.
Risoluzione dei problemi alla protezione con password della cartella wp-admin
A seconda della configurazione del nostro server e del sito Web, possono verificarsi errori.
Uno degli errori più comuni è che la funzione Ajax non funziona sul front-end del nostro sito web. Se disponiani di plug-in WordPress che richiedono Ajax, come la ricerca live Ajax o il modulo di contatto Ajax, questi plug-in non funzioneranno più.
Per risolvere questo problema, aggiungiamo semplicemente il seguente codice al file .htaccess che si trova nella cartella “wp-admin”.
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Un altro errore che potremo riscontrare è un errore 404 o troppi reindirizzamenti (too many redirects)
Il modo più semplice per risolvere questo problema è quello di aprire il file .htaccess principale che si trova nella directory del tuo sito Web e aggiungere le seguenti righe di codice prima delle regole di WordPress.
ErrorDocument 401 default
Nota: questo è il file .htaccess che si trova nella cartella del tuo sito Web principale, non quello che abbiamo caricato nella cartella “wp-admin”.
Spero che questo articolo ti abbia aiutato a imparare come proteggere con password la cartella wp-admin.
