Aggiornato il: 02-05-2023 13:30
Una delle caratteristiche comuni di WP è relativa al fatto che /wp-admin sarà quasi sempre il path di accesso, universalmente valido, per accedere alla schermata di login: da un punto di vista della sicurezza, pero’, questo potrebbe comportare una serie di problemi, tra cui il fatto che sia banale identificare l’URL in questione e procedere a tentativi di entrare illecitamente nel sito mediante tentativi brute force. Molti attacchi informatici a WordPress in effetti si basano sull’identificazione di questi elementi di accesso pubblici, e validi per tutti, per tentare accessi illeciti al sito. Cambiarlo può essere una buona idea per ridurre, almeno un po’, l’impatto di potenziali accessi indesiderati o a tentativi (brute-force).
Cambiare wp-admin mediante plugin
I plugin da usare per cambiare URL di login a WordPress sono questi due:
- WPS Hide Login – semplice, gratuito, pratico e leggero;
- Change WP Admin Login
- iTheme Security – molto completo dal punto di vista della sicurezza, ha un’opzione per cambiare URL direttamente e sceglierlo come vogliamo noi (ad esempio /accesso, /login e cosଠvia).
Fermo restando che i login non autorizzati si possono limitare con plugin di sicurezza sempre più evoluti (come ad esempio , ma anche è davvero pratico, oltre che decisamente più leggero, per il vostro sito in WP), è bene sapere che esiste una procedura per cambiare l’URL /wp-admin in qualsiasi altra cosa vogliate.
Cambiare wp-admin mediante codice
Ad esempio potremmo decidere di cambiare l’URL di amministrazione di WordPress in un originale /fai-login6345, qualcosa di difficile da “indovinare” per uno sconosciuto, se vogliamo.
Si procede in questo modo:
1. Editare il file wp-config.php, ed aggiungere le seguenti direttive;
define('WP_ADMIN_DIR', 'fai-login6345');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);
2. Aggiungere un apposito filtro al file functions.php del vostro tema (attenzione: se cambiate tema dovrete ripetere la procedura daccapo, per cui al limite potreste optare per inserire il tutto in un file nella cartella wp-content/mu-plugins, in modo che la modifica persista ai cambi di theme futuri):
add_filter('site_url', 'wpadmin_filter', 10, 3);
function wpadmin_filter( $url, $path, $orig_scheme ) {
$old = array( "/(wp-admin)/");
$admin_dir = WP_ADMIN_DIR;
$new = array($admin_dir);
return preg_replace( $old, $new, $url, 1);
}
3. Aggiungere, infine, la seguente direttiva al file .htaccess al fine di attualizzare la modifica:
RewriteRule ^fai-login6345/(.*) wp-admin/$1?%{QUERY_STRING} [L]
Si noti come il file appena citato non sia, di norma, pubblicamente visibile sul web per cui sarà impossibile per un eventuale attaccante identificare la direttiva inserita. A questo punto il vostro URL di amministrazione sarà diventato personalizzato (es. miosito.it/fai-login6345), mentre quello tradizionale non sarà più valido.
Naturalmente fai-login6345 dovrebbe essere modificato con una vostra stringa personalizzata per avere massima sicurezza, e l’URL di accesso andrebbe condiviso solo tra i vostri collaboratori o editori.
Fonte: wordpress.org
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
