Security Blog

Pagina di accesso personalizzata per WordPress

Come rinominare wp-login.php, creare un URL di accesso personalizzato e proteggere WordPress da attacchi automatizzati di forza bruta e bot.


English version: Custom login page for WordPress


La funzionalità della pagina di accesso personalizzata è un ottimo strumento per ridurre la superficie di attacco ed eliminare le registrazioni di spam. È la prima cosa che dovresti abilitare su un WordPress appena installato. Un'altra misura di sicurezza altamente raccomandata è la ridenominazione della cartella dei plugin di WordPress .

Perché è importante e perché funziona

Secondo i nostri studi presso Cerber Lab , la maggior parte degli strumenti e degli attacchi degli hacker si basano sul presupposto che un sito Web basato su WordPress della vittima abbia la pagina di accesso predefinita e che i plug-in si trovino nella cartella predefinita. Sebbene sia consigliabile non utilizzare i valori predefiniti su nessun sito Web, molti proprietari di siti Web ignorano questi semplici principi, consentendo agli hacker di attaccarli con successo. Ed è per questo che gli hacker amano così tanto WordPress e, in qualsiasi momento, vediamo centinaia di migliaia di siti Web compromessi.

Configura la tua pagina di accesso personalizzata

WP Cerber ti consente di modificare in modo semplice e sicuro l'URL di accesso predefinito di WordPress wp-login.php in qualsiasi URL di cui hai bisogno. In altre parole, puoi configurare la tua pagina di accesso personalizzata univoca e nota a te (un URL di accesso personalizzato significa lo stesso in questo contesto) e nascondere wp-login.php da malintenzionati, scanner e bot. Non è necessario modificare il file .htaccess o rinominare il file wp-login.php. Con WP Cerber puoi configurarlo in pochi clic.

  1. Vai alla pagina di amministrazione delle impostazioni principali del plug-in.
  2. Inserisci il nuovo URL di accesso desiderato nel campo URL di accesso personalizzato e salva le impostazioni. Questo è tutto.
  3. Se utilizzi un plug-in di memorizzazione nella cache, aggiungi il nuovo URL di accesso all'elenco delle pagine da non memorizzare nella cache.
  4. Assicurati che il tuo nuovo URL di accesso funzioni correttamente e puoi usarlo per accedere. Fallo in una finestra del browser in incognito. Non disconnetterti dal tuo sito web finché non ti assicuri che il tuo nuovo URL di accesso funzioni correttamente .
WordPress login security and custom login page settings

Custom WordPress login page settings

Come nascondere wp-login.php da bot e scanner

Dopo aver abilitato la pagina di accesso del cliente, ha senso nascondere la pagina di accesso predefinita di WordPress per impedire il montaggio di attacchi di forza bruta su di essa. Per ottenere ciò, imposta l'impostazione Elaborazione delle richieste di autenticazione wp-login.php su "Blocca l'accesso a wp-login.php". Quando si tenta di accedere alla pagina, WP Cerber eseguirà il rendering della pagina standard "404 Not Found". C'è solo un aspetto negativo a cui dovresti pensare. Se un utente malintenzionato è abbastanza intelligente, può continuare a scansionare il sito Web, cercando la tua vera pagina di accesso.

Come disabilitare wp-login.php

Un'altra opzione più avanzata che dovresti considerare è disabilitare wp-login.php senza bloccarne l'accesso. Come funziona? Questa caratteristica unica di WP Cerber interrompe qualsiasi tentativo di autenticazione tramite wp-login.php. Quando si tenta di accedere, WP Cerber imita l'errore di password errata predefinita e interrompe il processo di autenticazione dell'utente. Non importa quale password viene inserita; nessuno è autorizzato ad accedere anche con la password corretta. Per abilitare questa funzione, impostare Elaborazione richieste di autenticazione wp-login.php su "Nega autenticazione tramite wp-login.php".

Un avvertimento da ricordare

Se tu o il tuo utente dimenticate che wp-login.php è disabilitato e non può essere utilizzato per l'accesso, voi o il vostro utente non sarete mai in grado di accedere al sito Web e verrete bloccati dopo diversi tentativi di utilizzare wp-login.php.

Se hai impostato "Elaborazione richieste di autenticazione wp-login.php" su qualsiasi valore diverso da quello predefinito, puoi utilizzare solo il tuo URL di accesso personalizzato. Né /wp-login.php né /wp-admin/ possono più essere utilizzati per l'accesso.

Cose importanti che devi sapere

  • Se utilizzi un plug-in di memorizzazione nella cache come W3 Total Cache o WP Super Cache, devi aggiungere lo slug del nuovo URL di accesso personalizzato all'elenco delle pagine da non memorizzare nella cache.
  • Per un'installazione multisito di WordPress, il nuovo URL di accesso è impostato per tutti i siti a livello globale.
  • Non eliminare o rinominare manualmente il file wp-login.php. Dopo aver aggiornato WordPress a una versione più recente, wp-login.php verrà ripristinato e nuovamente accessibile agli intrusi.

Rendilo più sicuro con l'autenticazione a due fattori

Prendi in considerazione l'abilitazione di 2FA per proteggere gli account degli amministratori. L'autenticazione a due fattori fornisce un ulteriore livello di sicurezza che richiede un secondo fattore di identificazione oltre a un semplice nome utente e password.

Per saperne di più: come abilitare l'autenticazione a due fattori per WordPress

Risoluzione dei problemi relativi alla funzione URL di accesso personalizzato

L'abilitazione della pagina di accesso personalizzata potrebbe causare l'interruzione del funzionamento di alcuni plug-in. Se utilizzi un plug-in di personalizzazione della pagina di accesso o un plug-in di accesso social, è possibile che tale plug-in non funzioni più. Per risolvere questo problema, abilita "Rinvia il rendering della pagina di accesso personalizzata". Ulteriori informazioni su questa impostazione .

Se hai impostato il tuo URL di accesso personalizzato e dopo un po' l'hai dimenticato, prima di tutto controlla la casella di posta elettronica dell'amministratore del sito per un'e-mail di notifica sul tuo nuovo URL di accesso o qualsiasi rapporto settimanale via e-mail. In quelle e-mail, puoi vedere il tuo URL di accesso personalizzato. Se non riesci a trovare tale e-mail, devi reinstallare WP Cerber manualmente seguendo i passaggi seguenti.

  1. Elimina manualmente la cartella del plugin /wp-cerber/ utilizzando FTP o qualsiasi File Manager nel pannello di controllo del tuo hosting.
  2. Accedi alla dashboard di WordPress come al solito utilizzando l'URL predefinito /wp-login.php o un altro modo che usavi prima di abilitare l'URL di accesso personalizzato.
  3. Installa e attiva il plug-in WP Cerber Security come al solito.
  4. Vai alla pagina Impostazioni principali del plug-in.
  5. Controlla il campo URL di accesso personalizzato . Visualizza l'URL di accesso personalizzato che devi utilizzare. Ricordalo.

Prossimi passaggi che rafforzeranno la sicurezza di WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to ChrisW
Cancel Reply