Pagina di accesso personalizzata per WordPress
Come rinominare wp-login.php, creare un URL di accesso personalizzato e proteggere WordPress da attacchi automatici di forza bruta e bot.
English version: Custom login page for WordPress
La funzionalità della pagina di accesso personalizzata è un ottimo strumento per ridurre la superficie di attacco ed eliminare le registrazioni di spam. È la prima cosa che dovresti abilitare su un WordPress appena installato. Un'altra misura di sicurezza altamente raccomandata è la ridenominazione della cartella dei plugin di WordPress .
Perché è importante e perché funziona
Secondo i nostri studi presso Cerber Lab , la maggior parte degli strumenti e degli attacchi degli hacker si basano sul presupposto che un sito Web basato su WordPress della vittima abbia la pagina di accesso predefinita e che i plug-in si trovino nella cartella predefinita. Sebbene sia consigliabile non utilizzare i valori predefiniti su nessun sito Web, molti proprietari di siti Web ignorano questi semplici principi, consentendo agli hacker di attaccarli con successo. Ed è per questo che gli hacker amano così tanto WordPress e, in qualsiasi momento, vediamo centinaia di migliaia di siti Web compromessi.
Configura la tua pagina di accesso personalizzata
WP Cerber ti consente di modificare in modo semplice e sicuro l'URL di accesso predefinito di WordPress wp-login.php in qualsiasi URL di cui hai bisogno. In altre parole, puoi configurare la tua pagina di accesso personalizzata univoca e nota a te (un URL di accesso personalizzato significa lo stesso in questo contesto) e nascondere wp-login.php da malintenzionati, scanner e bot. Non è necessario modificare il file .htaccess o rinominare il file wp-login.php. Con WP Cerber puoi configurarlo in pochi clic.
- Vai alla pagina di amministrazione delle impostazioni principali del plug-in.
- Inserisci il nuovo URL di accesso desiderato nel campo URL di accesso personalizzato e salva le impostazioni. Questo è tutto.
- Se utilizzi un plug-in di memorizzazione nella cache, aggiungi il nuovo URL di accesso all'elenco delle pagine da non memorizzare nella cache.
- Assicurati che il tuo nuovo URL di accesso funzioni correttamente e puoi usarlo per accedere. Fallo in una finestra del browser in incognito. Non disconnetterti dal tuo sito web finché non ti assicuri che il tuo nuovo URL di accesso funzioni correttamente .
Custom WordPress login page settings
Come nascondere wp-login.php da bot e scanner
Dopo aver abilitato la pagina di accesso del cliente, ha senso nascondere la pagina di accesso predefinita di WordPress per impedire il montaggio di attacchi di forza bruta su di essa. Per ottenere ciò, imposta l'impostazione Elaborazione delle richieste di autenticazione wp-login.php su "Blocca l'accesso a wp-login.php". Quando si tenta di accedere alla pagina, WP Cerber eseguirà il rendering della pagina standard "404 Not Found". C'è solo un aspetto negativo a cui dovresti pensare. Se un utente malintenzionato è abbastanza intelligente, può continuare a scansionare il sito Web, cercando la tua vera pagina di accesso.
Come disabilitare wp-login.php
Un'altra opzione più avanzata che dovresti considerare è disabilitare wp-login.php senza bloccarne l'accesso. Come funziona? Questa caratteristica unica di WP Cerber interrompe qualsiasi tentativo di autenticazione tramite wp-login.php. Quando si tenta di accedere, WP Cerber imita l'errore di password errata predefinita e interrompe il processo di autenticazione dell'utente. Non importa quale password viene inserita; nessuno è autorizzato ad accedere anche con la password corretta. Per abilitare questa funzione, impostare Elaborazione richieste di autenticazione wp-login.php su "Nega autenticazione tramite wp-login.php".
Un avvertimento da ricordare
Se tu o il tuo utente dimenticate che wp-login.php è disabilitato e non può essere utilizzato per l'accesso, voi o il vostro utente non sarete mai in grado di accedere al sito Web e verrete bloccati dopo diversi tentativi di utilizzare wp-login.php.
Se hai impostato "Elaborazione richieste di autenticazione wp-login.php" su qualsiasi valore diverso da quello predefinito, puoi utilizzare solo il tuo URL di accesso personalizzato. Né /wp-login.php né /wp-admin/ possono più essere utilizzati per l'accesso.
Cose importanti che devi sapere
- Se utilizzi un plug-in di memorizzazione nella cache come W3 Total Cache o WP Super Cache, devi aggiungere lo slug del nuovo URL di accesso personalizzato all'elenco delle pagine da non memorizzare nella cache.
- Per un'installazione multisito di WordPress, il nuovo URL di accesso è impostato per tutti i siti a livello globale.
- Non eliminare o rinominare manualmente il file wp-login.php. Dopo aver aggiornato WordPress a una versione più recente, wp-login.php verrà ripristinato e nuovamente accessibile agli intrusi.
Rendilo più sicuro con l'autenticazione a due fattori
Prendi in considerazione l'abilitazione di 2FA per proteggere gli account degli amministratori. L'autenticazione a due fattori fornisce un ulteriore livello di sicurezza che richiede un secondo fattore di identificazione oltre a un semplice nome utente e password.
Per saperne di più: come abilitare l'autenticazione a due fattori per WordPress
Risoluzione dei problemi relativi alla funzione URL di accesso personalizzato
L'abilitazione della pagina di accesso personalizzata potrebbe causare l'interruzione del funzionamento di alcuni plug-in. Se utilizzi un plug-in di personalizzazione della pagina di accesso o un plug-in di accesso social, è possibile che tale plug-in non funzioni più. Per risolvere questo problema, abilita "Rinvia il rendering della pagina di accesso personalizzata". Ulteriori informazioni su questa impostazione .
Se hai impostato il tuo URL di accesso personalizzato e dopo un po' l'hai dimenticato, prima di tutto controlla la casella di posta elettronica dell'amministratore del sito per un'e-mail di notifica sul tuo nuovo URL di accesso o qualsiasi rapporto settimanale via e-mail. In quelle e-mail, puoi vedere il tuo URL di accesso personalizzato. Se non riesci a trovare tale e-mail, devi reinstallare WP Cerber manualmente seguendo i passaggi seguenti.
- Elimina manualmente la cartella del plugin /wp-cerber/ utilizzando FTP o qualsiasi File Manager nel pannello di controllo del tuo hosting.
- Accedi alla dashboard di WordPress come al solito utilizzando l'URL predefinito /wp-login.php o un altro modo che usavi prima di abilitare l'URL di accesso personalizzato.
- Installa e attiva il plug-in WP Cerber Security come al solito.
- Vai alla pagina Impostazioni principali del plug-in.
- Controlla il campo URL di accesso personalizzato . Visualizza l'URL di accesso personalizzato che devi utilizzare. Ricordalo.
Prossimi passaggi che rafforzeranno la sicurezza di WordPress
Ulteriori informazioni sull'IP dell'intruso
WP Cerber Security 2.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.