Rendere sicuro il login di WordPress

Uno degli svantaggi principali di WordPress è che data la sua notorietà tutti conoscono la URL del login, ossia /wp-admin/.

Uno dei metodi più utilizzato per entrare all’interno di un sito WordPress è effettuazione un brute force attack proprio sulla URL dell’amministratore. Una volta effettuata la breccia, si avrà completo accesso al sito.

A quel punto, nel caso in cui fosse possibile inserire del codice dalla voce di menu Aspetto > Editor del Tema o da Plugin > Editor del plugin, di fatto sarebbe possibile operare sullo spazio del sito senza bisogno di accedervi direttamente (ma si potrà sempre creare un passaggio).

Cambiare la path del login

Il modo più semplice per rendere quasi impossibile da trovare (senza un’intrusione) la URL del login è cambiarla. Per farlo si possono seguire strade differenti, ma le migliori comprendono modificare i file di WordPress, utilizzare un plugin o aumentare il numero di autenticazione da compiere.

Lo scopo di questa operazione è quella di rendere più difficile l’intrusione utilizzando una combinazione di numeri e lettere casuali per la nuova path. In questo modo è come se le combinazione necessarie per avere accesso si fossero moltiplicate esponenzialmente.

Modifiche al codice del login

Si tratta del metodo forse più semplice ed efficace, date che non aggiunge nessun altro elemento al sito se non poche righe di codice.

Per effettuare la modifica bisogna editare il file wp-config che si trova nella root del sito e aggiungere quanto segue:

define('WP_ADMIN_DIR', 'wp-enter-fra');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

Successivamente bisognerà aggiungere delle altre istruzioni nel file function.php attivo, ossia quello del tema grafico corrente:

add_filter('site_url',  'wpadmin_filter', 10, 3);
 function wpadmin_filter( $url, $path, $orig_scheme ) {
  $old  = array( "/(wp-admin)/");
  $admin_dir = WP_ADMIN_DIR;
  $new  = array($admin_dir);
  return preg_replace( $old, $new, $url, 1);
 }

E per ultimo aggiungere una linea di codice sul file .htaccess

RewriteRule ^wp-enter-fra/(.*) wp-admin/$1?%{QUERY_STRING} [L]

Adesso il file di accesso è cambiato, anche se vi consiglio di controllare per bene quali regole di riscrittura siano presenti nel file .htaccess prima di inserire le vostre.

Rendere sicuro il login con un plugin

Se il metodo della modifica del codice era la strada più corretta, sicuramente quella del plugin è la più veloce.

Un po come è accaduto nell’esempio precedente andremo a modificare la URL del login tramite del codice, solo che questa volta si tratta di un software bello e pronto.

Per farlo esistono diversi plugin, tra cui Protect your Admin e il meno versatile Rename; entrambi permettono di modificare la URL tramite un pannello nel back end, anche se il primo offre qualche opzione in più.

Aggiungere livelli di autenticazione

Per tutti coloro che non hanno intenzione di modificare l’URL ma vogliono essere sicuri di non ricevere cattive notizie al prossimo accesso sul sito, è possibile aumentare il grado di operazioni da compiere per guadagnare l’accesso.

Si parla dunque di plugin per il reCaptcha, autenticazione a due fattori e la limitazione dei tentativi di accesso.

Il metodo del reCaptcha si basa sul metodo di autenticazione omonimo che temporizza i tentativi di accesso e li rende incalcolabili da un software. A tal proposito esiste un plugin che si occupa di installare questa tecnologia direttamente sul /wp-admin/

Two Factor Authentication invece è un plugin che genera delle password valide una sola volta e che vengono generate all’interno del back end grazie all’utilizzo dei protocolli TOTP e HOTP.

Per ultimo, ma non meno valido, il plugin che permette di modificare il numero di tentativi di accesso al sito. Se la paura era quella di ricevere un tentativo di accesso basato sulla forza bruta, basterà installare WP Limit Login Attempts per fugare questa paura.

Nel caso in cui questa operazione non fosse per voi sufficiente a mettere in sicurezza il sito avete ragione., Per proteggere WordPress al meglio questa accortezza deve essere combinata con altri strumenti.