Bloccare l’accesso a Wp Admin Login

Perché bloccare l’accesso a Wp admin login?

Perché se non ne blocchi l’accesso, ti potresti inaspettatamente ritrovare con il sito hackerato, messo offline oppure con tutte le pagine bianche! Spesso, hacker dilettanti vanno alla ricerca di falle nei sistemi con il solo intento di mettere una firma del tipo: “Hacked da Pinco Pallino”.

Non si tratta quasi mai di criminali, spesso si tratta solo di qualche studente annoiato che per passare il tempo usa dei bot, con l’intento di ricercare file specifici contenti codice non protetto o notoriamente fallato, con l’intento di prendere il controllo del sito. Come ho già scritto, spesso tutto questo lavoro si traduce in una messa offline del sito web. Resta comunque una bella scocciatura ed uno dei metodi migliori per salvaguardare WordPress, è quello di rendere difficile l’accesso alle directory standard e in particolare alla pagina di login del CMS.

Questa operazione rende più sicuro WordPress ed impedisce la perdita di visitatori e soprattutto di vendite. A volte, anche un solo giorno di down, potrebbe tradursi in una notevole perdita di denaro e di popolarità sui motori di ricerca; Google, in particolare, è un grado di mettere offline tutte le pagine visitate dai suoi spider nel giro di poche ore, facendoti perdere i posizionamenti ottenuti con il duro lavoro di SEO. Quindi è bene avere sempre a disposizione un piano di riserva ben noto: il backup.

Il servizio di hosting offerto da area97.com, comprende un backup giornaliero dei dati che è possibile ripristinare direttamente da pannello di controllo.

Se non prendi le dovute precauzioni per proteggere il tuo sito, ti potresti ritrovare prima o poi in seria difficoltà. Fortunatamente ci sono diversi metodi per proteggersi da attacchi portati direttamente alla pagina di login, tutti abbastanza semplici e di facile attuazione, spesso al solo costo di qualche minuto del tuo tempo.

I Brute Force Attacks. Cosa fanno?

I brute force attacks prendono di mira la pagina di login standard di WordPress che di solito troviamo all’indirizzo: https://tuosito.tld/wp-login.php. Dato che questo è l’indirizzo standard di login, risulta un obiettivo molto facile per un hacker se decidesse di attaccare il tuo sito.

La prima barriera a questo tipo di attacchi, è la combinazione username e password che utilizzi per accedere al pannello di controllo di WordPress. Spesso però non è così. La maggior parte degli amministratori mantiene come nome dell’amministratore quello di default cioè Admin. Se poi consideriamo che molti sistemi di autoinstallazione per WordPress utilizzano i primi 8 caratteri del nome a dominio per generare la password dell’amministratore, è come mettere nelle mani di un ladro le chiavi della propria abitazione.

Già solo utilizzando lo username standard, un hacker è a metà dell’opera. È sufficiente utilizzare uno script che si connette automaticamente alla tua pagina di login, generando automaticamente decine di migliaia di combinazioni username/password per tentare di accedere al sistema, fino a che non trova la password giusta. Cosa che potrebbe anche non accadere, tuttavia uno script automatico può continuare per giorni a geneare combinazioni, provocando un notevole rallentamento nelle prestazioni del tuo sito web, rendendolo meno appetibile per gli spider e per gli utenti, perché i siti lenti non piacciono a nessuno!

Se non istuiamo a dovere WordPress su cosa deve fare in questi casi, lasceremo agli hacker tutto il tempo per fare i loro giochetti, che penalizzeranno sensibilmente il sito web sotto attacco.

Di solito, a questo punto del discorso, il mio interlocutore afferma: “perché mai, con milioni di siti gestiti con WordPress, dovrebbero attaccare proprio il mio?” La risposta è molto semplice, gli hacker non attaccano TE personalmente, attaccano tutti i siti potenzialmente vulnerabili. Come? Utilizzando quelli che vengono chiamati Botnets: centinaia di computer collegati in tutto il globo che non sono gestiti dal solito studentello annoiato ma sono gestiti da vere e proprie organizzazioni criminali che attaccano contemporaneamente decine di migliaia di siti compromettendone le funzionalità. Questo non succede una volta o due al giorno, succede centinaia di migliaia di volte!

Come posso proteggere la pagina Wp Admin Login?

Ci sono diversi modi per proteggere l’accesso alla pagina Wp Admin Login, più o meno semplici. Come già detto, una buona combinazione username/password è un inizio. È possibile attuare questa soluzione già in fase post-installazione di WordPress o anche dopo aver letto questo articolo se già non è stato fatto.

Cambiare combinazione username password dell’amministratore

1. Creare un nuovo utente admin il cui username non contenga la parola “admin“
2. Usare una password complessa (almeno 12 caratteri)
3. Eliminare l’utente admin iniziale dopo avere effettuato l’accesso con la nuova combinazione user/pass

Limitare il numero dei tentativi di accesso

Un altro metodo piuttosto noto per bloccare l’accesso alla pagina Wp Admin Login, è quello di limitare il numero dei tentativi di accesso. Questa opzione è realizzabile utilizzando un plugin per WordPress scaricabile dal repository seguendo questo link. Il plugin si basa sul conteggio dei tentativi di accesso dallo stesso indirizzo IP. Se ad esempio si imposta il numero massimo dei tentativi di accesso senza successo a 3, il bot al quarto tentativo sarà respinto e sarà mostrata una pagina di login che non consentirà ulteriori tentativi di accesso dallo stesso indirizzo IP per il tempo indicato nella pagina di settaggio del plugin.

Il plugin è inoltre provvisto di altre opzioni di facile comprensione che consentono di personalizzare ulteriormente le funzioni di blocco, come il numero di tentativi di login accettati i minuti del blocco, se si vuole o no loggare l’IP e se si desidera ricevere una mail dopo un numero definito di tentativi d’intrusione.

Modificare l’URL della pagina Wp Admin Login

Un altro efficace sistema per limitare i tentativi di hacking ad un sito basato su WordPress è quello di nascondere ai bot la pagina di accesso.

Questa soluzione si applica facilmente, grazie all’utilizzo di un semplicissimo plugin, anche questo facilmente reperibile sul sito ufficiale WordPress.org. Il plugin si chiama WPS Hide Login e già dal nome è facile intuire quale sia il suo scopo: cambiare l’url di accesso al backend ingannando i bot. Questo plugin ha una sola opzione: definire il nome di accesso della nuova pagina. Fine del setup!