Come proteggere il Login di WordPress

Se ti sei messo in gioco e stai costruendo un sito web con il CMS WordPress ma necessiti di un modo per proteggere il login, ovvero l’accesso al tuo nuovo portale, allora sei nel posto giusto. Qui ti farò vedere come proteggere il Login di WordPress in tre modi.

Quando si è alle prime armi, la prima preoccupazione che ci giunge alla mente è: “E se qualche malintenzionato entrasse nel mio sito web?“. A questa domanda rispondiamo consigliandoti ben tre modi per blindare l’accesso alla tua bacheca di WordPress. Quelli che ti farò vedere sono metodi “per chi inizia”, poi, con il passare del tempo, imparerai anche a proteggerti più professionalmente. Ma vediamo subito quali sono questi procedimenti.

Come proteggere il Login di WordPress

Come ho detto prima, vediamo quali sono questi metodi “basilari” per blindare o mettere momentaneamente al sicuro la porta d’accesso al nostro sito web costruito su WordPress. Andremo a parlare di un Plugin, una procedura per cambiare alcune chiavi di codifica e una funzione presente con un famoso plugin Antivirus per WordPress.

Usare il plugin WPS Hide Login

Il primo metodo che ti mostro è l’ormai famoso Plugin WPS Hide Login. Il plugin vanta più di 800mila installazioni e più di 1900 recensioni con il massimo dei voti. Grazie a questo plugin potrai cambiare nome alla pagina di login di WordPress che è di default: wp-login.php(wp-admin).

Il plugin non rinomina letteralmente o cambia il file nel core, né aggiunge regole di riscrittura. Intercetta semplicemente le richieste alla pagina e funziona su qualsiasi sito web con WordPress. La pagina wp-login.php e la cartella wp-admin diventano inaccessibili agli altri e accessibili solo a te che conosci il nuovo url. Disattivando questo plugin tornerai alla pagina classica di login.

E’ assicurata la compatibilità con plugin quali BuddyPress, bbPress, Jetpack, WPS Limit Login e User Switching. Non funziona con plugin che modificano letteralmente il file wp-login.php. Puoi utilizzarlo con WordPress superiore alla versione 4.1, funziona con siti multisito, con sottodomini e sottocartelle. L’attivazione per una rete consente di impostare un’impostazione predefinita a livello di rete. I singoli siti possono comunque rinominare la loro pagina di accesso in qualcos’altro.

Se stai utilizzando un plug-in per la memorizzazione nella cache delle pagine diverso da WP Rocket, dovrai aggiungere lo slug del nuovo URL di accesso all’elenco delle pagine da non memorizzare nella cache. WP Rocket è già completamente compatibile con il plugin. Per quanto riguarda W3 Total Cache e WP Super Cache, WPS Hide Login ti mostrerà un messaggio con il relativo link al campo che dovrai aggiornare.

Per quanto riguarda gli altri moduli d’accesso, come il modulo di iscrizione, modulo di recupero password, widget di accesso e sessioni scadute, stai tranquillo: continueranno  a funzionare regolarmente.

Una volta installato il Plugin, ti basterà recarti nella bacheca del tuo sito WordPress e poi in “Impostazioni“(dalla colonna di sinistra) e cliccare su “WPS Hide Login. Qui scorri la pagina fino in fondo e, nel campo “Url di accesso“, inserisci la tua nuova “parola”. Una volta salvato, ricorda che, per accedere alla nuova pagina di login del tuo sito, dovrai digitare https://www.ilnomedeltuosito.com/nuova-parola/ (questo è il link di esempio ovviamente). Questa procedura serve per togliere ai malintenzionati quelle procedure automatiche che hanno come impostazioni predefinite l’attacco alla pagina wp-login.php(wp-admin).

Attivare l’autentificazione a due fattori di Wordfence

Uno dei metodi più sicuri per proteggere il tuo sito web su WordPress, è usare il plugin antivirus Wordfence. Questo potentissimo plugin, usato ormai da più di 4 milioni di persone, offre anche la possibilità di attivare l’autentificazione a due fattori(cosa che non tutti questi tipi di plugin hanno).

Cos’è l’autentificazione a due fattori? 

L’autenticazione a due fattori è una funzione di protezione utilizzata da banche, agenzie governative e militari in tutto il mondo. È una delle forme più sicure di autenticazione. Questo metodo di accesso al tuo sito web si basa su qualcosa che conosci e qualcosa in tuo possesso. Questo è il motivo per cui viene definito “a due fattori”, perché due fattori sono coinvolti nell’autenticazione.

Quali sono questi due fattori? La tua password e una specifica App precedentemente installata sul tuo smartphone. L’autenticazione a due fattori di Wordfence è progettata per essere utilizzata principalmente dagli amministratori del sito e da quelli con accesso di alto livello, come utenti con accesso editore, ma ora è disponibile impostarla anche per altri ruoli. L’autenticazione a due fattori era in precedenza una funzionalità premium, ma ora è disponibile anche per i siti che eseguono la versione gratuita di Wordfence.

L’App che dovrai installare sul tuo cellulare è Google Authenticator, che serve per generare quei codici univoci che dovrai inserire una volta inserita la password nel modulo di accesso su WordPress.

Come attivare l’autentificazione a due fattori su Wordfence?

Per attivare l’autentificazione a due fattori su Wordfence(2FA), devi prima installare l’App Google Authenticator sul tuo telefono cellulare.

Ora tutto quello che devi fare è installare Wordfence sul tuo sito WordPress(come fai per installare qualsiasi altro plugin) e poi recarti nella colonna di sinistra della bacheca di WordPress e far comparire il menù apposito. Dal menù, clicca su “Login security“.

Qui, nella sezione “Two-Factor Authentication“, attiva l’autentificazione. Segui la procedura guidata, scarica i relativi codici di recupero(che ti serviranno in caso di problemi), poi aprì l’App Google Authenticator, scannerizza il codice QR e continua con la procedura guidata di inserimento dei relativi codici e conferma del numero di telefono. Una volta finito e attivata, puoi impostare per chi attivare questo tipo di login nella sezione “Settings” (Sempre in Wordfence>Login security>settings) ed attivare le caselle sotto “Enable 2FA for these roles“. Ora, dopo aver inserito la password, ti verrà richiesta una cifra numerica da inserire in un form sul PC(dove hai inserito la password), ma questa cifra la vedrai cliccando sulla sezione apposita dedicata al tuo sito web sull’App installata sul cellulare(Google Authenticator) . Non preoccuparti, la procedura guidata è semplice da seguire. Leggi anche: come-attivare-autenticazione-2-fattori-su-wordpress.

Cambiare le chiavi di accesso a WordPress dal cPanel(O Site Tools)

Ultimo ma quasi sconosciuto metodo per proteggere il Login al tuo sito WordPress, è quella di andare a cambiare le chiavi di codifica create durante l’installazione di WordPress. Se hai il dubbio che qualcuno sia entrato nel tuo sito web e vuoi forzare tutti a ripetere l’accesso con username e password, questo è una buona prassi da ripetere una volta ogni 6 mesi circa.

Tutto quello che devi fare è recarti nella cartella di installazione di del tuo sito web, poi in public_html  e cercare wp-config.php. Per precauzione, salva i file wp-config, poi al suo interno trova le 8 chiavi di accesso(vedi foto sotto), e cancellale. Le dovrai sostituire cliccando sul link appena sopra le chiavi in questione, ovvero: https://api.wordpress.org/secret-key/1.1/salt/ (copia il link da wp-config.php ed aprilo in una nuova pagina del browser).

Proteggere accesso wordpress

Sopra le chiavi leggerai:

* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.

Una volta sostituite, salva e tutti gli utenti saranno costretti a ripetere l’accesso nuovamente. Per Site Tools di Sitegronud, segui il percorso: SITO>Gestione Fle>Public_html>wp-config.php. Mi raccomando, salva il file wp.config prima di procedere alla sostituzione(Puoi salvarlo sul tuo PC, cliccando in alto sulla freccia che punta verso il basso, per poi eventualmente ricaricarlo in caso di problemi).

Bene, ti ho fatto vedere come proteggere il Login di WordPress. Queste sono le stesse procedure di cui mi sono avvalso io nel corso degli anni. Ovviamente la cosa essenziale è attivare l’autentificazione a due fattori, oramai INDISPENSABILE se vuoi essere il più sicuro possibile! Spero di esserti stato di aiuto, ciao e alla prossima! Leggi anche: come-proteggere-login-wordpress-con-cloudflare.