Pagina di accesso personalizzata per WordPress
Come rinominare wp-login.php, creare un URL di accesso personalizzato e proteggere WordPress dagli attacchi brute force e dai bot automatizzati.
English version: Custom login page for WordPress
La funzionalità della pagina di login personalizzata è un ottimo strumento per ridurre la superficie di attacco ed eliminare le registrazioni spam. È la prima cosa che dovresti abilitare su un WordPress appena installato. Un'altra misura di sicurezza altamente consigliata è rinominare la cartella dei plugin di WordPress .
Perché è importante e perché funziona
Secondo i nostri studi presso Cerber Lab , la maggior parte degli strumenti e degli attacchi degli hacker si basano sul presupposto che un sito Web WordPress-powered della vittima abbia la pagina di accesso predefinita e che i plugin si trovino nella cartella predefinita. Sebbene sia consigliabile non utilizzare valori predefiniti su nessun sito Web, molti proprietari di siti Web ignorano questi semplici principi, consentendo agli hacker di attaccarli con successo. Ed è per questo che gli hacker amano così tanto WordPress e, in qualsiasi momento, vediamo centinaia di migliaia di siti Web hackerati.
Configura la tua pagina di accesso personalizzata
WP Cerber ti consente di modificare facilmente e in sicurezza l'URL di accesso predefinito di WordPress wp-login.php in qualsiasi URL di cui hai bisogno. In altre parole, puoi configurare la tua pagina di accesso personalizzata, unica e nota a te (un URL di accesso personalizzato ha lo stesso significato in questo contesto) e nascondere wp-login.php da malintenzionati, scanner e bot. Non devi modificare il file .htaccess o rinominare il file wp-login.php. Con WP Cerber puoi configurarlo in pochi clic.
- Vai alla pagina di amministrazione delle Impostazioni principali del plugin.
- Inserisci il tuo nuovo URL di accesso desiderato nel campo URL di accesso personalizzato e salva le impostazioni. Ecco fatto.
- Se utilizzi un plugin di memorizzazione nella cache, aggiungi il tuo nuovo URL di accesso all'elenco delle pagine da non memorizzare nella cache.
- Assicurati che il tuo nuovo URL di accesso funzioni correttamente e che tu possa usarlo per effettuare l'accesso. Fallo in una finestra del browser in incognito. Non effettuare il logout dal tuo sito web finché non ti sarai assicurato che il tuo nuovo URL di accesso funzioni correttamente .
Custom WordPress login page settings
Come nascondere wp-login.php da bot e scanner
Una volta abilitata la pagina di accesso del cliente, ha senso nascondere la pagina di accesso predefinita di WordPress per impedire che vengano montati attacchi brute-force su di essa. Per ottenere questo risultato, imposta l'impostazione Elaborazione richieste di autenticazione wp-login.php su "Blocca accesso a wp-login.php". Quando si tenta di accedere alla pagina, WP Cerber visualizzerà la pagina standard "404 Not Found". C'è solo un aspetto negativo a cui dovresti pensare. Se un aggressore è abbastanza intelligente, potrebbe continuare a scansionare il sito Web, cercando la tua vera pagina di accesso.
Come disabilitare wp-login.php
Un'altra opzione più avanzata che dovresti considerare è disabilitare wp-login.php senza bloccarne l'accesso. Come funziona? Questa esclusiva funzionalità di WP Cerber blocca qualsiasi tentativo di autenticazione tramite wp-login.php. Quando si tenta di accedere, WP Cerber imita l'errore di password errata predefinito e interrompe il processo di autenticazione dell'utente. Non importa quale password venga inserita; a nessuno è consentito accedere, anche con la password corretta. Per abilitare questa funzionalità, imposta l'impostazione Elaborazione richieste di autenticazione wp-login.php su "Nega autenticazione tramite wp-login.php".
Un avvertimento da ricordare
Se tu o il tuo utente dimenticate che wp-login.php è disabilitato e non può essere utilizzato per effettuare l'accesso, né tu né il tuo utente sarete mai in grado di accedere al sito web e verrete bloccati dopo diversi tentativi di utilizzo di wp-login.php.
Se hai impostato "Processing wp-login.php authentication requests" su un valore diverso da quello predefinito, puoi usare solo il tuo URL di login personalizzato. Né /wp-login.php né /wp-admin/ possono più essere usati per effettuare il login.
Cose importanti che devi sapere
- Se utilizzi un plugin di memorizzazione nella cache come W3 Total Cache o WP Super Cache, devi aggiungere lo slug del nuovo URL di accesso personalizzato all'elenco delle pagine da non memorizzare nella cache.
- Per un'installazione multisito di WordPress, il nuovo URL di accesso viene impostato per tutti i siti a livello globale.
- Non eliminare o rinominare manualmente il file wp-login.php. Dopo aver aggiornato WordPress a una versione più recente, wp-login.php verrà ripristinato e sarà nuovamente accessibile agli intrusi.
Ottieni una maggiore sicurezza con l'autenticazione a due fattori
Valuta l'abilitazione di 2FA per proteggere gli account degli amministratori. L'autenticazione a due fattori fornisce un ulteriore livello di sicurezza che richiede un secondo fattore di identificazione oltre a un semplice nome utente e una password.
Scopri di più: Come abilitare l'autenticazione a due fattori per WordPress
Risoluzione dei problemi della funzionalità URL di accesso personalizzato
Abilitare la pagina di login personalizzata potrebbe causare l'interruzione del funzionamento di alcuni plugin. Se utilizzi un plugin di personalizzazione della pagina di login o un plugin di login social, è possibile che tale plugin non funzioni più. Per risolvere questo problema, abilita "Differisci il rendering della pagina di login personalizzata". Leggi di più su questa impostazione .
Se hai impostato il tuo URL di accesso personalizzato e dopo un po' lo hai dimenticato, prima di tutto, controlla la casella di posta elettronica dell'amministratore del sito per un'e-mail di notifica sul tuo nuovo URL di accesso o qualsiasi rapporto settimanale via e-mail. In quelle e-mail, puoi vedere il tuo URL di accesso personalizzato. Se non riesci a trovare tale e-mail, devi reinstallare WP Cerber manualmente seguendo i passaggi sottostanti.
- Elimina manualmente la cartella del plugin /wp-cerber/ tramite FTP o qualsiasi File Manager nel pannello di controllo del tuo hosting.
- Accedi alla dashboard di WordPress come di consueto utilizzando l'URL predefinito /wp-login.php o un altro metodo che utilizzavi prima di abilitare l'URL di accesso personalizzato.
- Installa e attiva il plugin WP Cerber Security come di consueto.
- Vai alla pagina delle impostazioni principali del plugin.
- Controlla il campo URL di accesso personalizzato . Mostra l'URL di accesso personalizzato che devi usare. Ricordatelo.
I prossimi passi che rafforzeranno la sicurezza del tuo WordPress
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.