Gestisci un sito Web o un blog tramite WordPress e dopo aver subito diversi attacchi hacker stai cercando un modo che ti consenta di nascondere l’indirizzo di login al back end di WordPress?
Se questa è la tua necessità segui il post per capire come fare ad evitare che ciò accada. Prima di iniziare devi sapere che, purtroppo, non esiste un metodo sicuro al 100 %, ma tuttavia è sempre meglio adottare tutti i sistemi che in qualche maniera potrebbero rendere difficile la violazione del nostro account ad eventuali malintenzionati.
La maggior parte delle persone che hanno un sito o un blog si affidano a WordPress per gestirlo. WordPress è il CMS (Content Management System) più utilizzato, perché permette di creare un sito Web anche a chi ha scarse conoscenze di linguaggi come: Html, CSS o Javascript.
WordPress mette a disposizione un back end (quella parte del sito non visibile ai visitatori) attraverso cui anche i principianti con un minimo di esperienza, possono utilizzare tutte le funzioni in esso incluse per creare e modificare l’aspetto e la struttura del sito.[the_ad id=”717″]
Per accedere al pannello di controllo di WordPress esistono due indirizzi predefiniti:
- iltuoindirizzo/login
- iltuoindirizzo/admin
Digitando uno di questi due indirizzi all’interno della barra di ricerca del browser visualizzeremo la relativa pagina di login. Questa pagina è la preferita dagli hacker per tentare di violare il nostro account WordPress.
Cosa possiamo fare, quindi, per evitare che questo accada?
Si possono percorrere diverse strade più o meno complesse, le più semplici sono quelle che consentono di bloccare l’accesso o di nascondere l’indirizzo di login al back end del nostro sito/blog.
Ovviamente questi sistemi non possono essere considerati lo strumento definitivo con il quale riusciremo a bloccare i malintenzionati, ma possono aiutarci a rendere più difficoltosi i loro tentativi.
Bloccare i tentativi di accesso con il plugin Loginizer
Il primo plugin che puoi usare per bloccare attacchi brute force, cioè i tentativi ripetuti da parte degli hacker di trovare la username e la password del tuo account amministratore, si chiama Loginizer.
Questo plugin previene gli attacchi di tipo brute force bloccando l’indirizzo IP dopo diversi tentativi di login. Per installare Loginizer clicca su Plugin ⇒ Aggiungi nuovo.
Digita all’interno della casella di ricerca la parola Loginizer. Il primo risultato della ricerca dovrebbe essere proprio quello relativo a Loginizer.[the_ad id=”665″]
Clicca su Installa ora e poi su Attiva.
Loginizer non ha bisogno di configurazioni avanzate. Subito dopo l’attivazione la protezione contro gli attacchi brute force sarà attiva.
In Loginizer Security ⇒ Brute Force ⇒ Brute Force Setting, puoi modificare i valori impostati di default. Per esempio, con Max Retries, potrai decidere dopo quanti tentativi l’accesso al login deve essere bloccato. Con Lockout Time il tempo di blocco. Con Max Lockouts il numero massimo di blocchi.
In Email Notification potrai decidere dopo quanti tentativi di accesso fallito Loginizer deve inviarti una notifica via e-mail.
Nella sezione Blacklist IP e Whitelist IP puoi bloccare o autorizzare determinati indirizzi IP. In Error Messagges puoi inserire un messaggio che sarà visto da chi fallirà il login e da chi è nella nostra Blacklist IP.
Loginizer Pro contiene altre opzioni che servono per aumentare la sicurezza. Nella versione Pro, per esempio, è disponibile l’opzione che consente di disabilitare l’indirizzo di default di login.
Modificare l’Url di login con WPS Hide Login
Il secondo plugin che puoi utilizzare per proteggere il login del tuo WordPress si chiama WPS Hide Login. Questo plugin e molto leggero e gode di ottime recensioni. Il suo compito è quello di consentirci di modificare e personalizzare l’indirizzo di login al pannello di controllo di WordPress.
Le modifiche apportate non andranno a modificare le impostazioni presenti sul server. Il plugin impedirà solo l’accesso alle pagine di login classiche. L’unica cosa che dovremo ricordarci sarà solo il nuovo indirizzo creato. Se lo disinstalliamo tutto ritornerà come prima.
Dopo aver installato e attivato il plugin vai in Impostazioni ⇒ WPS Hide Login.
Verrai indirizzato nella sezione relativa alle impostazioni del plugin. In Url di accesso, dopo l’indirizzo del tuo sito, sostituisci login con quello che vuoi tu. La stessa modifica, se non vuoi reindirizzare verso la pagina 404, applicala all’interno della casella posta accanto all’opzione Redirection url.
Quest’ultima modifica ti servirà per dirottare tutti gli utenti che cercheranno di autenticarsi tramite wp-login.php o wp-admin.php, verso la pagina che imposterai.
Clicca su Salva le modifiche per completare. Dopo la modifica ricordati di salvare nei preferiti il nuovo indirizzo.
Per renderti conto degli effetti della modifica, prova ad accedere con il vecchio Url di login e ti accorgerai che la pagina visualizzata non sarà più quella relativa al login amministratore, ma quella che tu hai impostato in Redirection url.
Per accedere alla schermata di login digita il nuovo indirizzo.[the_ad id=”667″]