Pagina di accesso personalizzata per WordPress
Come rinominare wp-login.php, creare un URL di accesso personalizzato e proteggere WordPress dagli attacchi brute force e dai bot automatizzati.
English version: Custom login page for WordPress
La funzionalità della pagina di accesso personalizzata è un ottimo strumento per ridurre la superficie di attacco ed eliminare le registrazioni spam. È la prima cosa da abilitare su un'installazione di WordPress appena effettuata. Un'altra misura di sicurezza altamente raccomandata è rinominare la cartella dei plugin di WordPress .
Perché è importante e perché funziona
Secondo i nostri studi presso Cerber Lab , la maggior parte degli strumenti e degli attacchi degli hacker si basano sul presupposto che un sito web WordPress utilizzato dalla vittima abbia la pagina di login predefinita e che i plugin si trovino nella cartella predefinita. Sebbene sia sconsigliato utilizzare valori predefiniti su qualsiasi sito web, molti proprietari di siti ignorano questi semplici principi, consentendo agli hacker di attaccarli con successo. Ed è per questo che gli hacker amano così tanto WordPress, e in qualsiasi momento, vediamo centinaia di migliaia di siti web violati.
Configura la tua pagina di accesso personalizzata
WP Cerber ti permette di cambiare in modo semplice e sicuro l'URL di login predefinito di WordPress , wp-login.php , con qualsiasi URL tu desideri. In altre parole, puoi configurare una pagina di login personalizzata e unica (un URL di login personalizzato ha lo stesso significato in questo contesto) e nascondere wp-login.php da malintenzionati, scanner e bot. Non è necessario modificare il file .htaccess o rinominare il file wp-login.php. Con WP Cerber puoi configurarlo in pochi clic.
- Vai alla pagina di amministrazione delle impostazioni principali del plugin.
- Inserisci il nuovo URL di accesso desiderato nel campo "URL di accesso personalizzato" e salva le impostazioni. Tutto qui.
- Se utilizzi un plugin di caching, aggiungi il tuo nuovo URL di accesso all'elenco delle pagine da non memorizzare nella cache.
- Assicurati che il tuo nuovo URL di accesso funzioni correttamente e che tu possa utilizzarlo per accedere. Esegui questa verifica in una finestra di navigazione in incognito. Non disconnetterti dal tuo sito web finché non ti sarai assicurato che il nuovo URL di accesso funzioni correttamente .
Custom WordPress login page settings
Come nascondere wp-login.php da bot e scanner
Una volta abilitata la pagina di accesso clienti, è consigliabile nascondere la pagina di accesso predefinita di WordPress per prevenire attacchi di forza bruta. Per fare ciò, imposta l'opzione " Elaborazione delle richieste di autenticazione wp-login.php " su "Blocca l'accesso a wp-login.php". Quando si tenta di accedere alla pagina, WP Cerber visualizzerà la pagina standard "404 Not Found". C'è solo un inconveniente da considerare: se un malintenzionato è abbastanza esperto, potrebbe continuare a scansionare il sito web alla ricerca della tua vera pagina di accesso.
Come disabilitare wp-login.php
Un'altra opzione più avanzata da considerare è la disabilitazione di wp-login.php senza bloccarne l'accesso. Come funziona? Questa esclusiva funzionalità di WP Cerber impedisce qualsiasi tentativo di autenticazione tramite wp-login.php. Quando si tenta di accedere, WP Cerber simula l'errore predefinito di password errata e interrompe il processo di autenticazione dell'utente. Non importa quale password venga inserita; nessuno sarà autorizzato ad accedere, nemmeno con la password corretta. Per abilitare questa funzionalità, imposta l'opzione "Elaborazione delle richieste di autenticazione tramite wp-login.php " su "Nega l'autenticazione tramite wp-login.php".
Un avvertimento da ricordare
Se tu o il tuo utente dimenticate che wp-login.php è disabilitato e non può essere utilizzato per l'accesso, non sarete mai in grado di accedere al sito web e verrete bloccati dopo diversi tentativi di utilizzo di wp-login.php.
Se hai impostato "Elaborazione delle richieste di autenticazione wp-login.php" su un valore diverso da quello predefinito, puoi utilizzare solo il tuo URL di accesso personalizzato. Né /wp-login.php né /wp-admin/ possono più essere utilizzati per accedere.
Cose importanti che devi sapere
- Se utilizzi un plugin di caching come W3 Total Cache o WP Super Cache, devi aggiungere lo slug del nuovo URL di accesso personalizzato all'elenco delle pagine da non memorizzare nella cache.
- In un'installazione multisito di WordPress, il nuovo URL di accesso viene impostato per tutti i siti a livello globale.
- Non eliminare o rinominare manualmente il file wp-login.php. Dopo aver aggiornato WordPress a una versione più recente, il file wp-login.php verrà ripristinato e sarà nuovamente accessibile agli intrusi.
Aumenta la sicurezza con l'autenticazione a due fattori.
Valuta la possibilità di abilitare l'autenticazione a due fattori (2FA) per proteggere gli account degli amministratori. L'autenticazione a due fattori offre un ulteriore livello di sicurezza, richiedendo un secondo fattore di identificazione oltre al nome utente e alla password.
Scopri di più: Come abilitare l'autenticazione a due fattori per WordPress
Risoluzione dei problemi relativi alla funzionalità URL di accesso personalizzato
L'attivazione della pagina di accesso personalizzata potrebbe causare il malfunzionamento di alcuni plugin. Se utilizzi un plugin per la personalizzazione della pagina di accesso o un plugin per l'accesso tramite social network, è possibile che tale plugin smetta di funzionare. Per risolvere questo problema, abilita l'opzione "Rimanda il rendering della pagina di accesso personalizzata". Scopri di più su questa impostazione .
Se hai impostato un URL di accesso personalizzato e dopo un po' di tempo lo hai dimenticato, controlla innanzitutto la casella di posta elettronica dell'amministratore del sito per un'email di notifica relativa al tuo nuovo URL di accesso o per un report settimanale. In queste email, troverai il tuo URL di accesso personalizzato. Se non riesci a trovare tale email, dovrai reinstallare WP Cerber manualmente seguendo i passaggi descritti di seguito.
- Elimina manualmente la cartella del plugin /wp-cerber/ utilizzando FTP o qualsiasi gestore di file presente nel pannello di controllo del tuo hosting.
- Accedi alla tua bacheca di WordPress come di consueto utilizzando l'URL predefinito /wp-login.php o un altro metodo che utilizzavi prima di abilitare l'URL di accesso personalizzato.
- Installa e attiva il plugin WP Cerber Security come di consueto.
- Vai alla pagina delle impostazioni principali del plugin.
- Controlla il campo URL di accesso personalizzato . Qui viene visualizzato l'URL di accesso personalizzato che devi utilizzare. Ricordalo.
Prossimi passi per rafforzare la sicurezza del tuo WordPress
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.