Luigi Sabbetti

Il mondo del web a 360 gradi

cambiare url login wordpress come e perché farlo

Cambiare url login WordPress


di // Pubblicato il: 27 maggio 2018

Molto spesso in questo blog ci siamo trovati a parlare dell’argomento sicurezza. In particolare, in un articolo di qualche tempo fa, vi fornivo ben 15 metodi per proteggere un sito WordPress. Oggi voglio scendere più nel dettaglio ed analizzare un aspetto che, secondo me, è tra i più importanti.

Molti sapranno, infatti, che il backend di WordPress è facilmente raggiungibile da chiunque, su qualsiasi tipo di sito, aggiungendo, come suffisso all’url di base, la stringa /wp-admin oppure /wp-login.

Il backend del tuo sito, dunque, sarà raggiungibile facilmente da chiunque, basterà digitare nella barra degli indirizzi l’url tuosito.it/wp-admin o, in alternativa tuosito.it/wp-login

Ovviamente, però, questo comportamento di default non è noto solo alle persone normali che utilizzano WordPress per creare blog e sviluppare siti web in modo del tutto lecito. Anche gli hacker, come i normali utenti, sono a conoscenza di questa informazione e possono sfruttarla facilmente a proprio vantaggio al fine di aggirare le misure di sicurezza del nostro sito. Fatta questa doverosa premessa, oggi vedremo assieme come cambiare url login WordPress.

Indice

Perché dovresti modificare l’url dell’admin

Come ti spiegavo in precedenza, modificare l’url per accedere al tuo admin è importante. Sono però rimasto volontariamente un pò sul vago. In questo capitolo ti mosterò nel dettaglio perché è così importante farlo e, sono sicuro, dopo aver letto correrai subito ai ripari.

Un hacker può sapere che usi WordPress

In linea di massima è semplice riconoscere un sito fatto in WordPress per una persona con un minimo di esperienza. Come se non bastasse esistono specifiche estensioni di Firefox e Chrome che ci permettono di conoscere in tempo reale in che modo, e con quali tecnologie, è stato realizzato un sito.

Probabilmente, dunque, anche modificare il path di amministrazione non ci aiuterà a fare in modo che un hacker non riesca a riconoscere un sito fatto in WordPress ma, se non altro, in un qualche modo lo scoraggeremo. Se non riuscirà ad arrivare alla pagina del pannello di amministrazione al primo colpo, potrebbe cambiare idea e lasciarci in pace!

Un hacker si aspetta di trovare un utente con user admin

Mettiamo il caso che un hacker riesca a trovare il pannello di amministrazione al primo colpo. Devi sapere che WordPress, di default, crea un’utenza con user admin. La prima cosa che farà un hacker sarà cercare di indovinare la password associata all’user admin, ammesso che questo ci sia.

Ecco perché è importante creare un proprio utente e cancellare l’utenza con user admin. In questo modo saremo senza dubbio più protetti.

In generale, comunque, dovresti utilizzare una password molto complessa per i tuoi utenti. Per fortuna è WordPress stesso a suggerirtela e io ti consiglio di utilizzare quella piuttosto che una più semplice e tendenzialmente vulnerabile.

Loggati tramite HTTPS

Un’altra operazione che dovresti fare è quella di spostare il tuo sito sotto protocollo sicuro HTTPS. Per fortuna, complice anche l’adeguamento di Google in fatto di penalizzazioni SEO, praticamente tutti gli hosting offrono un pacchetto HTTPS di base gratuito. Si va da let’s encrypt, usato su SiteGround ad esempio, a DV di Aruba.

Dovresti, dunque, se ne hai la possibilità, reindirizzare tutto il traffico del tuo sito sotto protocollo sicuro. In questo modo sarà più difficile per un hacker entrare nel tuo backend. Assicurati che la tua password non venga salvata in chiaro, in questo modo potrai fare sogni tranquilli.

Modificare il path tramite htaccess

Ora che abbiamo capito l’importanza di cambiare il path di amministrazione del nostro sito, possiamo passare ai fatti. Nel primo metodo ti mostrerò come modificare l’url del tuo admin tramite il file .htaccess

Se non lo sapessi già, il file htaccess, in ambiente linux/apache è un file contenuto all’interno della root principale del tuo sito. Ti consente di effettuare molte operazioni interessanti come gestire i redirect, sfruttare al meglio il leverage browser caching e veicolare tutto il traffico del tuo sito sotto protocollo sicuro.

Queste sono solo alcune delle operazioni che puoi effettuare modificando questo file. Attenzione però: se non sei pratico potresti andare incontro a seri rischi. Ti basterà una sola riga sbagliata per causare degli errori 500 difficili da risolvere per un neofita. Se non sei sicuro di ciò che stai facendo, dunque, chiedi aiuto ad un professionista o, semplicemente, utilizza la seconda opzione: quella dei plugin.

Proviamo a modificare il path di wordpress /wp-admin in /amministrazione
Per farlo dovrai inserire queste righe all’interno del tuo file .htaccess

RewriteCond %{REQUEST_URI} wp-admin/
RewriteRule ^amministrazione/(.*)

Effettua sempre una copia di backup di questo file e, in caso di problemi, ripristinala. Non è detto, infatti, che funzioni nel 100% dei casi, dipende sostanzialmente dalle regole di redirect che hai già inserito nel tuo .htaccess

Modificare il path con l’aiuto di un plugin

Abbiamo visto la strada più complessa, ora analizziamo invece il percorso più semplice da intraprendere. WordPress, fortunatamente, mette a disposizione diversi plugin per modificare il path della cartella di amministrazione.

Come ti dicevo, ne esistono diversi, ma, in questa guida, ne vedremo soltanto uno poiché ritengo che basti ed avanzi. Il plugin in questione porta l’eloquente nome di Protect Your Admin

Protect Your Admin

Come si evince chiaramente dal nome del plugin, questa estensione ti permette di proteggere al meglio la tua parte amministrativa da intrusi. Questo plugin mette “una pezza” a diversi buchi di sicurezza riconosciuti dalla community di WordPress.

Dopo aver installato il plugin, sarai in grado di cambiare a tuo piacimento il path per accedere all’admin. Tutte le query dirette verso /wp-admin e /wp-login verranno automaticamente reindirizzate grazie all’aiuto di questo plugin. Inoltre, il plugin, viene fornito già con alcuni filtri aggiuntivi che permettono al gestore del sito di creare delle restrizioni per gli utenti guest e registrati durante l’accesso al pannello di amministrazione.

Gli sviluppatori del plugin, raccomandano di effettuare un backup completo prima dell’installazione: ti consiglio di farlo. Infine sappi che il plugin non funziona con IIS.

Conclusioni

Come hai potuto vedere tu stesso, cambiare il path per accedere al sito è molto importante. Non farti trovare impreparato perché gli attacchi hacker sono all’ordine del giorno, soprattutto su siti web sviluppati in WordPress. Esistono, infatti, tantissimi siti WordPress nel mondo e gli hacker si sono man mano specializzati in questa piattaforma.

Mi capita spesso, infatti, di ricevere richieste di aiuto a causa di hackeraggi di siti WordPress. Ricorda sempre che prevenire è meglio che curare. Con pochi e semplici passi potrai avere un sito sicuro e a provare di hacker. Si tratta di un investimento di tempo che non è mai banale. Sei vuoi approfondire questo argomento, ti consiglio di dare un occhio ad un mio vecchio articolo nel quale indicavo 10 sintomi per riconoscere un sito WordPress hackerato.

Se conosci anche tu qualche metodo per cambiare il path di amministrazione di WordPress, scrivilo pure nei commenti, sarò lieto di leggerli e confrontarmi con te.

Ti è piaciuto questo articolo? Votalo!
[voti: 1 - Media voto: 5]

About Author

Mi chiamo Luigi Sabbetti e da circa dieci anni svolgo la professione di Web Designer. Profondamente amante della scrittura, mi piace condividere le mie conoscenze informatiche attraverso il mio sito web. Amo correre, guardare il mare e il buon cibo. Scopri di più nella mia