Domande o Richieste ? al 3496993121 | Email | Preventivo
Scopri la nostra Assistenza Speciale per Wordpress

Proteggere pagina wp-login wordpress – prevenire attacchi hacker

Proteggere pagina wp-login WordPress – prevenire attacchi hacker

proteggere-pagina-login-wordpress

Proteggere il proprio sito è importante.

Dopo tutto, significa che si sta proteggendo non solo le informazioni e dei dati personali propri, ma anche tutte le informazioni che gli utenti condividono sul tuo sito (commenti, url ecc…).

In questo Articolo vedremo come limitare l’accesso da parte di uno o più indirizzi IP statici e per gli indirizzi IP dinamici.

Premessa di base

Prima di fare qualunque modifica è importante prima fare il backup dei file.

Meglio sarebbe fare il backup dell’intero sito prima di procedere in modo che se qualcosa va storto è possibile ripristinare il sito.

Una volta finito di backup del sito, si è pronti per iniziare e rendere il sito più sicuro.

Ci troveremmo di fronte a due opzioni per limitare l’accesso alla Dashboard di WordPress ( Bacheca di WordPress ) :

  • Uno o più indirizzi IP statici – Questa è l’opzione giusta per voi se il vostro indirizzo IP non cambia (quindi statico) ;
  • Più indirizzi IP dinamici – Se il vostro indirizzo IP cambia regolarmente perché si utilizza il telefono, si viaggia molto (quindi c’è necessità di accedere alla dashboard da dove ci si trova), o si hanno utenti che richiedono l’accesso da più posizioni.

Indirizzi Ip Statici

Se sei l’ unico che gestisce il sito, se ci sono solo poche persone che lo fanno, o il vostro indirizzo IP non cambia spesso, questa opzione è la più giusta per voi.

Basterà aggiungere uno o più indirizzi IP alla lista sicura degli utenti che possono accedere alla pagina di login per il tuo sito.

Aggiungere il seguente codice al file .htaccess :

ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404
 
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP Address One$
RewriteCond %{REMOTE_ADDR} !^IP Address Two$
RewriteCond %{REMOTE_ADDR} !^IP Address Three$
RewriteRule ^(.*)$ - [R=403,L]

Basta modificare le linee che corrispondono a (RewriteCond %{REMOTE_ADDR} !^IP Address One$, RewriteCond %{REMOTE_ADDR} !^IP Address Two$, RewriteCond %{REMOTE_ADDR} !^IP Address Three$) ed aggiungere gli indirizzi IP che possono accedere alla dashboard e alla pagina di login; Mi raccomando, dovete sostituire /path-to-your-site con il vostro percorso.

Un esempio potrebbe essere :

ErrorDocument 401 /index.php?error=404
ErrorDocument 403 /index.php?error=404
 
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^xxx.xxx.xxx.xxx$
RewriteRule ^(.*)$ - [R=403,L]

Basta che sostituite xxx.xxx.xxx.xxx con il vostro indirizzo ip; se volete più indirizzi ip basta aggiungere una linea sotto.

In questo modo quando un visitatore non autorizzato tenta di accedere alla pagina di wp-login e wp-admin, verranno reindirizzati alla pagina di errore 404.php del vostro tema attuale.

Indirizzi Ip Dinamici

Se invece utilizzate un indirizzo ip dinamico, e prevedete di dovervi accedere da qualsiasi luogo, senza vincolo di indirizzo ip questa è la soluzione più adatta.

Aggiungere il seguente codice al file .htaccess :

ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404

RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site.com [NC]
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteRule ^(.*)$ - [F]

Tutto quello che dovete fare è sostituire your-site.com con l’URL del vostro sito e aggiornare il percorso del file nelle prime due righe.

Proprio come l’ esempio precedente, questo codice include anche l’errore 404, codice che pone rimedio al fatto di finire in un loop di reindirizzamento .

Gli hacker di solito cercano di accedere alla pagina di login e area admin esternamente tramite attacchi di forza bruta con bot.

Questo codice limita l’accesso ad essi, consentendo l’accesso a tutti i visitatori che visitano la pagina attraverso il vostro sito attuale.

Ciò significa che gli utenti legittimi non noteranno la differenza. Se si dispone di un plugin di sicurezza installato che informa dei tentativi di login falliti, si noterà una drastica riduzione del numero che si ottiene.

Qualche dubbio o suggerimento? Lascia un commento e parliamone.

About Emiliano

Mi chiamo Emiliano Prelle, web designer freelance, con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Mi occupo di sviluppo, progettazione e realizzazione siti internet ( sviluppati in particolare con WordPress ), grafica e SEO.

Lascia un commento

Contatti

Loranzè, via Fiorano n 83
10010 ( TO )
Cell: 3496993121
Email: Scrivimi via email
P.IVA: 11315150018
Operiamo nel rispetto della tua Privacy

desclaimer

Il sito www.emprsitiweb.com è di proprietà di Prelle Emiliano e da esso gestito. La veste grafica, le immagini ed i testi presenti nel sito sono soggetti a copyright da Prelle Emiliano e/o dei rispettivi proprietari e non possono essere riprodotti o trasmessi con nessun mezzo, né essere utilizzati in ambito professionale o commerciale senza autorizzazione scritta da Prelle Emiliano o dei legittimi proprietari.

Ultima dal Blog

Social

Resta aggiornato su WordPress !

Guide/Tutorials per WordPress

Suggerimenti e trucchi per WordPress

Un Report 100% gratuito che ti aiuta ad evitare gli errori più comuni per il tuo sito WordPress

Se ti iscrivi, riceverai periodicamente : 

Rispettiamo la privacy. La tua Email verrà solo utilizzata per questa newsletter, e non sarà ceduti a terzi.

Grazie per la tua iscrizione !

Miraccomando : Clicca sul seguente LINK, per visionare tutte le informazioni ed i dettagli relativi alla tua iscrizione !

Ti anticipo, che devi cliccare sul link di conferma che ti ho appena inviato al tuo indirizzo email per poter essere iscritto correttamente alla newsletter. Questo ti permetterà di ricevere tutti gli aggiornamenti ed il report free, sui 25 errori più comuni di WordPress, che ho preparato per te !

Nella mail troverai tutte le informazioni del caso.

Nb: Se la mail non arriva subito, non preoccuparti; causa ritardi del server può impiegarci anche fino a 2 ore.

I 25 Errori WordPress più comuni da evitare 

Iscrivendoti al blog ricevi gratuitamente una report in cui ti mostro i 25 errori più comuni che commettono i principianti in WordPress in fase di realizzazione di un Sito Web. 

Iscriviti ed ottieni il report gratuito !

*Lo scarichi in 5 secondi. 100% Gratis

Rispettiamo la privacy. La tua Email verrà solo utilizzata per questa newsletter.

Grazie per la tua iscrizione

Miraccomando : Clicca sul seguente LINK, per visionare tutte le informazioni ed i dettagli relativi alla tua iscrizione !

Ti anticipo, che devi cliccare sul link di conferma che ti ho appena inviato al tuo indirizzo email per poter essere iscritto correttamente alla newsletter. Questo ti permetterà di ricevere tutti gli aggiornamenti ed il report free, sui 25 errori più comuni di WordPress, che ho preparato per te !

Nella mail troverai tutte le informazioni del caso.

Nb: Se la mail non arriva subito, non preoccuparti; causa ritardi del server può impiegarci anche fino a 2 ore.