Tutt gli utenti, ma soprattutto i principianti, che interagiscono con WordPress potrebbero non conscere o avere hanno difficoltà ad accedere ai propri account. Ma conoscere e poter modificare il proprio WordPress login è una pratica di sicurezza che dovrebbero conoscere anche gli sviluppatori e gestori evoluti per motivi di sicurezza e per meglio avere sotto controllo il proprio sito web e quello dei propri clienti.
WordPress login: è veramente importante?
Ovviamente se hai installato WordPress, vorrai poter avere accesso alla dashboard di amministrazione del tuo sito web, e vorrai anche avere l’opportunità di configurare il tuo sito come vuoi quindi modificare quello che ritieni opportuno.
E questo è un tipo di lavoro che si può fare solo accedendo alle pagine di amministrazione di WordPress, tramite il WordPress login.
La pagina di WordPress login (pagina di accesso) è stata appositamente create per questo scopo e se vogliamo anche per impedire a chi non è addetto ad accedere al “lato” di gestione del tuo sito WordPress.
È praticamente impossibile assumere il pieno controllo del tuo sito/blog se non hai accesso all’area di amministrazione,
Ma, in pratica, dove si trova questa pagina di accesso di WordPress?
Come trovare il tuo URL di accesso a WordPress:
La pagina di accesso di WordPress può essere raggiunta aggiungendo / login /, / admin / o / wp-login.php alla fine dell’URL del tuo sito.
Nelle impostazioni standard questi sono i casi che dovrebbero portarti direttamente alla pagina di accesso di WordPress, ma se ciò non avviene per tutta una serie di motivi che non elencherò adesso, c’è un ulteriore modo per raggiungere la tua pagina di accesso: puoi aggiungere /wp-login.php alla fine dell’URL, come in questo esempio: www.iltuosito.com/wp-login.php
Inoltre se dovessi aver installato WordPress in una sottodirectory tipo: www.iltuosito.com/wordpress/ oppure in un sottodominio tipo: blog.iltuosito.com, aggiungi come da indicazioni sopra alla fine del tuo URL, ad esempio: www.iltuosito.com/ wordpress/ wp-login.php o blog.iltuosito.com/wp-login.php.
In alternativa, c’è un’opzione “Ricordami” nel modulo di accesso di WordPress, che ti permetterà di rimanere connesso e raggiungere la dashboard di amministrazione per alcuni giorni senza la necessità di effettuare nuovamente l’accesso (in base a come sono impostati i tuoi cookie):
L’accesso tramite la pagina WordPress login è un compito cruciale, ma facile da eseguire. Se non accade nulla di sbagliato e/o dannoso sul tuo sito, avrai semplicemente bisogno del tuo indirizzo email oppure del tuo nome utente e della tua password.
Semplice no? Tutto qui.
Niente affatto! Sfortunatamente, malintenzionati, hackers, aspiranti hackers, e rompiballe vari, sono ovunque e siccome non hanno niente di meglio da fare (opinione mia, magari invece si divertono a fare queste cose, oppure per altro scopo) questo è uno dei primi bersagli che andranno a colpire con i loro tentativi di accesso.
Cosa possiamo fare per scoraggiarli, allora?
Tante cose purtroppo bisogna fare, ma una delle più semplici e di primo scoraggiamento per loro è quella di spostare o modificare la pagina di WordPress login.
Come modificare la pagina di WordPress login
La tua pagina di accesso non dovrebbe essere accessibile agli hacker e agli aggressori malintenzionati (ovvero i cattivi) perché potrebbero accedere alla pagina di amministrazione del tuo sito e iniziare a rovinarti la giornata. Fidati, non è una bella esperienza!
Sebbene l’utilizzo di una password complessa, univoca e lunga possa davvero giocare a tuo favore per impedire l’accesso non autorizzato al tuo sito, non ci sono mai abbastanza cose che potresti fare quando è in gioco la sicurezza.
Un modo rapido ed efficace per tenere fuori i malintenzionati è spostare la pagina di accesso di WordPress su un nuovo URL univoco . La modifica dell’URL di accesso attraverso il quale tu e i tuoi utenti potete accedere al vostro sito WordPress potrebbe davvero aiutare quando si tratta di combattere attacchi casuali, hack e attacchi di forza bruta (brute force).
Una parola sugli attacchi di forza bruta: gli attacchi di forza bruta sono tentativi di hacking in cui il soggetto malintenzionato cerca ripetutamente di indovinare nome utente e password, sfruttando elenchi di nomi utente e password comuni che sono trapelati sul web. Quello che fanno è semplicemente provare migliaia di combinazioni sfruttando degli script che automatizzano tutti i loro tentativi.
C’è un’alta probabilità che la tua password o nome utente di WordPress possa trovarsi in uno di questi elenchi che si passano tra di loro. Se, a questo scenario, aggiungi che l’URL standard di accesso di WordPress è qualcosa di pubblicamente noto, si capisce bene quanto può essere facile ottenere l’accesso al tuo sito WordPress per hacker e aggressori malintenzionati.
Ecco perché, semplicemente, spostare la pagina di accesso di WordPress su un percorso diverso e poco noto ai più, può aiutarti.
Modificare la tua pagina di WordPress login con un plugin
Il modo più comune e probabilmente più semplice per modificare la pagina dell’URL di accesso di WordPress è utilizzare un plug-in gratuito come WPS Hide Login , molto utilizzato.
Il plug-in è molto leggero e, cosa più importante, non modifica alcun file nel core di WordPress né aggiunge regole di riscrittura. Intercetta semplicemente le richieste. È anche compatibile con quasi tutti gli altri plugin e non dovrebbe creare problematiche.
Ovviamente ne esistono anche molti altri, si tratta di trovare quello che fa più al caso proprio.
Per chiarezza c’è però da dire che questo scoraggerebbe molti malintenzionati e soprattutto i più inesperti, ma hacker esperti e professionisti potrebbero potenzialmente fare ancora il possibile e capire comunque la tua pagina di accesso.
La modifica dell’URL di accesso può anche aiutare a prevenire errori comuni di WordPress come ” 429 Too Many Requests “. Questo è in genere generato dal server quando l’utente ha inviato troppe richieste in un determinato periodo di tempo (limitazione della velocità). Ciò può essere causato da bot o script che colpiscono il tuo URL di accesso. L’utente finale causa raramente questo errore.
Ma la sicurezza va interpretata su più livelli, più strumenti, trucchi, muri (firewall) hai in esecuzione, più difficile sarà per qualsiasi malintenzionato entrare nel tuo sito e ottenerne il controllo.
Cambiare la tua pagina di accesso a WordPress Modificando il tuo file .htaccess
Un altro modo, più tecnico, per modificare o nascondere l’URL della pagina di accesso di WordPress è quello di modificare il file .htaccess .
Il file .htaccess ha come ruolo principale quello di configurare le regole e configurare le impostazioni a livello di sistema. Dal momento che stiamo parlando di nascondere la pagina di accesso, con .htaccess possiamo gestire la situazione. Questa però è una operazione molto tecnica per la quale eventualmente farò un’articolo a parte.
Limitazione dei tentativi di accesso
Un altro metodo di sicurezza efficace consiste nel limitare il numero di tentativi di accesso. Si può fare con un plug-in gratuito come Limit Login Attempts Reloaded
Naturalmente dato che la sicurezza di WordPress è un argomento complesso andremo ad affrontarlo più approfonditamente in un secondo tempo per dedicargli tutta l’attenzione che merita.