Security Blog

Pagina di accesso personalizzata per WordPress

Come rinominare wp-login.php, creare un URL di accesso personalizzato e proteggere WordPress da attacchi automatizzati di forza bruta e bot.


English version: Custom login page for WordPress


La funzionalità della pagina di accesso personalizzata è un ottimo strumento per ridurre la superficie di attacco ed eliminare le registrazioni di spam. È la prima cosa che dovresti abilitare su WordPress appena installato. Un'altra misura di sicurezza altamente raccomandata è rinominare la cartella dei plugin di WordPress .

Perché è importante e perché funziona

Secondo i nostri studi presso Cerber Lab , la maggior parte degli strumenti e degli attacchi degli hacker si basano sul presupposto che il sito Web vittima basato su WordPress abbia la pagina di accesso predefinita e che i plug-in si trovino nella cartella predefinita. Sebbene sia consigliabile non utilizzare valori predefiniti su nessun sito Web, molti proprietari di siti Web ignorano questi semplici principi, consentendo agli hacker di attaccarli con successo. Ed è per questo che gli hacker amano così tanto WordPress e in ogni momento vediamo centinaia di migliaia di siti web compromessi.

Configura la tua pagina di accesso personalizzata

WP Cerber ti consente di modificare in modo semplice e sicuro l'URL di accesso WordPress predefinito wp-login.php con qualsiasi URL di cui hai bisogno. In altre parole, puoi configurare la tua pagina di accesso personalizzata unica e conosciuta (un URL di accesso personalizzato ha lo stesso significato in questo contesto) e nascondere wp-login.php da malintenzionati, scanner e bot. Non è necessario modificare il file .htaccess o rinominare il file wp-login.php. Con WP Cerber puoi configurarlo in pochi clic.

  1. Vai alla pagina di amministrazione delle Impostazioni principali del plugin.
  2. Inserisci il nuovo URL di accesso desiderato nel campo URL di accesso personalizzato e salva le impostazioni. Questo è tutto.
  3. Se utilizzi un plug-in di memorizzazione nella cache, aggiungi il tuo nuovo URL di accesso all'elenco delle pagine da non memorizzare nella cache.
  4. Assicurati che il tuo nuovo URL di accesso funzioni correttamente e puoi utilizzarlo per accedere. Fallo in una finestra del browser in incognito. Non disconnetterti dal tuo sito web finché non sei sicuro che il nuovo URL di accesso funzioni correttamente .
WordPress login security and custom login page settings

Custom WordPress login page settings

Come nascondere wp-login.php da bot e scanner

Dopo aver abilitato la pagina di accesso del cliente, è opportuno nascondere la pagina di accesso predefinita di WordPress per impedire il montaggio di attacchi di forza bruta su di essa. Per raggiungere questo obiettivo, impostare l'impostazione Elaborazione richieste di autenticazione wp-login.php su "Blocca accesso a wp-login.php". Quando si tenta di accedere alla pagina, WP Cerber visualizzerà la pagina standard "404 Not Found". C'è solo uno svantaggio a cui dovresti pensare. Se un utente malintenzionato è abbastanza intelligente, potrebbe continuare a scansionare il sito Web alla ricerca della tua vera pagina di accesso.

Come disabilitare wp-login.php

Un'altra opzione più avanzata che dovresti considerare è disabilitare wp-login.php senza bloccarne l'accesso. Come funziona? Questa funzionalità unica di WP Cerber interrompe qualsiasi tentativo di autenticazione tramite wp-login.php. Quando si tenta di accedere, WP Cerber imita l'errore di password errata predefinito e interrompe il processo di autenticazione dell'utente. Non importa quale password viene inserita; a nessuno è consentito accedere anche con la password corretta. Per abilitare questa funzione, imposta l'impostazione Elaborazione richieste di autenticazione wp-login.php su "Nega autenticazione tramite wp-login.php".

Un avvertimento da ricordare

Se tu o il tuo utente dimenticate che wp-login.php è disabilitato e non può essere utilizzato per l'accesso, tu o il tuo utente non sarete mai in grado di accedere al sito Web e verrete bloccati dopo diversi tentativi di utilizzare wp-login.php.

Se hai impostato "Elaborazione richieste di autenticazione wp-login.php" su qualsiasi valore diverso da quello predefinito, puoi utilizzare solo il tuo URL di accesso personalizzato. Né /wp-login.php né /wp-admin/ possono più essere utilizzati per accedere.

Cose importanti che devi sapere

  • Se utilizzi un plug-in di memorizzazione nella cache come W3 Total Cache o WP Super Cache devi aggiungere lo slug del nuovo URL di accesso personalizzato all'elenco delle pagine da non memorizzare nella cache.
  • Per un'installazione multisito di WordPress, il nuovo URL di accesso è impostato per tutti i siti a livello globale.
  • Non eliminare o rinominare manualmente il file wp-login.php. Dopo aver aggiornato WordPress a una versione più recente, wp-login.php verrà ripristinato e sarà nuovamente accessibile agli intrusi.

Rendilo più sicuro con l'autenticazione a due fattori

Valuta la possibilità di abilitare la 2FA per proteggere gli account degli amministratori. L'autenticazione a due fattori fornisce un ulteriore livello di sicurezza che richiede un secondo fattore di identificazione oltre al semplice nome utente e password.

Scopri di più: come abilitare l'autenticazione a due fattori per WordPress

Risoluzione dei problemi relativi alla funzionalità URL di accesso personalizzato

L'abilitazione della pagina di accesso personalizzata potrebbe causare l'interruzione del funzionamento di alcuni plug-in. Se utilizzi un plug-in di personalizzazione della pagina di accesso o un plug-in di accesso social, è possibile che tale plug-in non funzioni più. Per risolvere questo problema, abilita "Rinvia il rendering della pagina di accesso personalizzata". Ulteriori informazioni su questa impostazione .

Se hai impostato il tuo URL di accesso personalizzato e dopo un po' lo hai dimenticato, prima di tutto, controlla la casella di posta elettronica dell'amministratore del sito per ricevere un'e-mail di notifica sul tuo nuovo URL di accesso o qualsiasi rapporto settimanale via e-mail. In queste e-mail puoi vedere il tuo URL di accesso personalizzato. Se non riesci a trovare tale email, devi reinstallare WP Cerber manualmente seguendo i passaggi seguenti.

  1. Elimina manualmente la cartella del plugin /wp-cerber/ utilizzando FTP o qualsiasi File Manager nel pannello di controllo del tuo hosting.
  2. Accedi alla dashboard di WordPress come al solito utilizzando l'URL predefinito /wp-login.php o un altro modo che utilizzavi prima di abilitare l'URL di accesso personalizzato.
  3. Installa e attiva il plugin WP Cerber Security come al solito.
  4. Vai alla pagina Impostazioni principali del plugin.
  5. Controlla il campo URL di accesso personalizzato . Visualizza l'URL di accesso personalizzato che devi utilizzare. Ricordalo.

I prossimi passi che rafforzeranno la sicurezza di WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments