Siete alla ricerca di modi per proteggere l’area di amministrazione di WordPress?
Proteggere l’area di amministrazione da accessi non autorizzati consente di bloccare molte minacce comuni alla sicurezza. Questo può essere utile se si verificano molti attacchi al proprio sito WordPress.
In questo tutorial vi mostreremo alcuni suggerimenti e trucchi fondamentali per proteggere l’area di amministrazione di WordPress.
Verranno trattati molti suggerimenti e per passare da uno all’altro è possibile utilizzare i collegamenti rapidi riportati di seguito:
- Use a Website Application Firewall
- Password Protect WordPress Admin Directory
- Always Use Strong Passwords
- Use Two Step Verification on WordPress Login Screen
- Limit Login Attempts
- Limit Login Access to IP Addresses
- Disable Login Hints
- Require Users to Use Strong Passwords
- Reset Password for All Users
- Keep WordPress Updated
- Create Custom Login and Registration Pages
- Learn About WordPress User Roles and Permissions
- Limit Dashboard Access
- Log out Idle Users
1. Utilizzare un firewall
Un firewall monitora il traffico del sito web e blocca le richieste sospette che lo raggiungono.
Sebbene esistano diversi plugin firewall per WordPress, come Wordfence, consigliamo di utilizzare Sucuri. Si tratta di un servizio di sicurezza e monitoraggio dei siti web che offre un firewall basato su cloud per proteggere il vostro sito.
Tutto il traffico del vostro sito web passa prima attraverso il cloud proxy di Sucuri, che analizza ogni richiesta e blocca quelle sospette per evitare che raggiungano il vostro sito web. In questo modo, il vostro sito web è protetto da possibili tentativi di hacking, phishing, malware e altre attività dannose.
Un’altra ottima opzione è Cloudflare, che ora utilizziamo su WPBeginner. Per maggiori dettagli, consultate il nostro articolo sul perché siamo passati da Sucuri a Cloudflare.
2. Proteggere con password la directory amministrativa di WordPress
L’area di amministrazione di WordPress è già protetta dalla password di WordPress. Tuttavia, l’aggiunta della protezione con password alla directory di amministrazione di WordPress aggiunge un ulteriore livello di sicurezza alla pagina di accesso.
Per prima cosa, dovete accedere al cruscotto del vostro web hosting WordPress e poi fare clic sull’icona “Proteggi le directory con password” o “Privacy delle directory”.
Successivamente, si dovrà selezionare la cartella wp-admin, che normalmente si trova all’interno della cartella /public_html/.
Nella schermata successiva, è necessario selezionare la casella accanto all’opzione “Proteggi questa directory con password” e fornire un nome per la directory protetta.
Quindi, fare clic sul pulsante “Salva” per impostare le autorizzazioni.
Successivamente, è necessario premere il pulsante Indietro e creare un utente. Vi verrà chiesto di fornire un nome utente/una password e di fare clic sul pulsante “Salva”.
Ora, quando qualcuno tenta di visitare la directory di amministrazione di WordPress o wp-admin sul vostro sito web, gli verrà chiesto di inserire il nome utente e la password.
Per istruzioni più dettagliate, consultate la nostra guida su come proteggere con password la directory di amministrazione di WordPress (wp-admin).
3. Usare sempre password forti
Utilizzate sempre password forti per tutti i vostri account online, compreso il vostro sito WordPress. Si consiglia di utilizzare una combinazione di lettere, numeri e caratteri speciali nelle vostre password. In questo modo è più difficile per gli hacker indovinare la vostra password.
I principianti ci chiedono spesso come ricordare tutte le password. La risposta più semplice è che non è necessario. Esistono applicazioni di gestione delle password davvero eccezionali che potete installare sul vostro computer e sul vostro telefono.
Per maggiori informazioni su questo argomento, consultate la nostra guida sul modo migliore di gestire le password per i principianti di WordPress.
4. Utilizzare la verifica in due passaggi nella schermata di accesso di WordPress
La verifica in due passaggi, nota anche come verifica a due fattori, autenticazione a due fattori o 2FA, aggiunge un ulteriore livello di sicurezza alle password. Invece di utilizzare la sola password, vi chiede di inserire un codice di verifica generato dall’app Google Authenticator sul vostro telefono.
Anche se qualcuno riesce a indovinare la password di WordPress, avrà comunque bisogno del codice di Google Authenticator per entrare.
Per istruzioni dettagliate passo-passo, consultate la nostra guida su come impostare la verifica in due passaggi in WordPress utilizzando Google Authenticator.
5. Limitare i tentativi di accesso
Per impostazione predefinita, WordPress consente agli utenti di inserire le password tutte le volte che vogliono. Ciò significa che qualcuno può continuare a cercare di indovinare la password di WordPress inserendo diverse combinazioni. Inoltre, consente agli hacker di utilizzare script automatici per decifrare le password.
Per correggere questo problema, è necessario installare e attivare il plugin Limit Login Attempts Reloaded. Dopo l’attivazione, visitare la pagina Impostazioni ” Login Lockdown per configurare le impostazioni del plugin.
Per istruzioni dettagliate, consultate la nostra guida sul perché limitare i tentativi di accesso in WordPress. Per saperne di più sul plugin, potete anche consultare la nostra recensione dettagliata di Limit Login Attempts.
6. Limitare l’accesso agli indirizzi IP
Un altro ottimo modo per proteggere il login di WordPress è limitare l’accesso a indirizzi IP specifici. Questo suggerimento è particolarmente utile se voi o solo pochi utenti fidati avete bisogno di accedere all’area di amministrazione.
È sufficiente aggiungere questo codice al file .htaccess:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Non dimenticate di sostituire i valori xx con il vostro indirizzo IP. Se si utilizza più di un indirizzo IP per accedere a Internet, assicurarsi di aggiungere anche quelli.
Per istruzioni dettagliate, consultate la nostra guida su come limitare l’accesso all’amministrazione di WordPress utilizzando .htaccess.
7. Disattivare i suggerimenti per l’accesso
In caso di tentativo di accesso fallito, WordPress mostra degli errori che indicano agli utenti se il nome utente non era corretto o la password. Questi suggerimenti per il login possono essere utilizzati da qualcuno per tentativi dannosi come gli attacchi brute force.
È possibile nascondere facilmente questi suggerimenti per il login aggiungendo il seguente codice al file functions.php del tema o utilizzando un plugin per gli snippet di codice come WPCode (consigliato):
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Per maggiori dettagli, consultate la nostra guida su come aggiungere codice personalizzato in WordPress senza rompere il vostro sito web.
8. Richiedere agli utenti l’uso di password forti
Se gestite un sito WordPress con più autori, questi utenti possono modificare i loro account utente e utilizzare una password debole. Queste password possono essere decifrate e dare accesso all’area di amministrazione di WordPress.
Per risolvere questo problema, potete installare e attivare il plugin SolidWP. Poi, potete seguire i passaggi della nostra guida completa su come forzare le password forti agli utenti in WordPress.
9. Reimpostare la password per tutti gli utenti
Siete preoccupati per la sicurezza delle password sul vostro sito WordPress multiutente? Potete chiedere facilmente a tutti i vostri utenti di reimpostare le loro password.
Innanzitutto, è necessario installare e attivare il plugin Emergency Password Reset. Dopo l’attivazione, andate alla pagina Utenti ” Ripristino di emergenza della password e fate clic sul pulsante “Ripristina tutte le password”.
Per istruzioni dettagliate, consultate la nostra guida su come reimpostare le password per tutti gli utenti in WordPress.
10. Mantenere WordPress aggiornato
WordPress rilascia spesso nuove versioni del software. Ogni nuova versione del core di WordPress contiene importanti correzioni di bug, nuove funzionalità e correzioni di sicurezza.
L’utilizzo di una versione precedente di WordPress sul vostro sito vi lascia esposti a exploit noti e potenziali vulnerabilità. Per risolvere questo problema, dovete assicurarvi di utilizzare l’ultima versione di WordPress.
Per saperne di più su questo argomento, consultate la nostra guida sul perché dovreste sempre utilizzare l’ultima versione di WordPress.
Allo stesso modo, anche i plugin di WordPress vengono spesso aggiornati per introdurre nuove funzionalità o risolvere problemi di sicurezza o di altro tipo. Assicuratevi che anche i vostri plugin di WordPress siano aggiornati.
Nota: Preferite lasciare la manutenzione di WordPress ai professionisti? I nostri servizi di manutenzione WPBeginner possono occuparsi di tutto, dagli aggiornamenti alla rimozione del malware, in modo che possiate concentrarvi sulla gestione del vostro sito web.
11. Creare pagine di accesso e registrazione personalizzate
Molti siti WordPress richiedono la registrazione degli utenti. Ad esempio, i siti di iscrizione, i siti di gestione dell’apprendimento e i negozi online richiedono agli utenti di creare un account.
Tuttavia, questi utenti possono utilizzare i loro account per accedere all’area di amministrazione di WordPress. Questo non è un grosso problema, poiché potranno fare solo le cose consentite dal loro ruolo di utente e dalle loro capacità.
Tuttavia, impedisce di limitare adeguatamente l’accesso alle pagine di login e di registrazione, che servono agli utenti per iscriversi, gestire i loro profili e accedere.
Il modo più semplice per risolvere questo problema è creare pagine di login e di registrazione personalizzate, in modo che gli utenti possano iscriversi e accedere direttamente dal vostro sito web.
Per istruzioni dettagliate passo dopo passo, consultate la nostra guida su come creare pagine di login e registrazione personalizzate in WordPress.
12. Conoscere i ruoli e i permessi degli utenti di WordPress
WordPress è dotato di un potente sistema di gestione degli utenti con diversi ruoli e capacità. Quando si aggiunge un nuovo utente al proprio sito WordPress, è possibile selezionarne un ruolo. Il ruolo dell’utente definisce ciò che può fare sul vostro sito WordPress.
L’assegnazione di ruoli utente errati può dare alle persone più capacità di quelle necessarie. Per evitare questo inconveniente, è necessario capire quali capacità sono associate ai diversi ruoli utente in WordPress.
Per saperne di più su questo argomento, consultate la nostra guida per principianti sui ruoli e i permessi degli utenti di WordPress.
13. Limitare l’accesso alla dashboard di WordPress
Alcuni siti WordPress hanno alcuni utenti che hanno bisogno di accedere alla dashboard e altri no. Tuttavia, per impostazione predefinita, tutti possono accedere all’area di amministrazione.
Per risolvere questo problema, è necessario installare e attivare il plugin Remove Dashboard Access. Dopo l’attivazione, andare alla pagina Impostazioni ” Accesso alla plancia di comando e selezionare quali ruoli utente avranno accesso all’area di amministrazione del sito.
Per istruzioni più dettagliate, consultate la nostra guida su come limitare l’accesso alla dashboard in WordPress.
14. Disconnettere gli utenti inattivi
WordPress non esegue automaticamente la disconnessione degli utenti finché questi non si disconnettono esplicitamente o non chiudono la finestra del browser. Questo può essere un problema per i siti WordPress con informazioni sensibili. Ecco perché i siti e le app degli istituti finanziari disconnettono automaticamente gli utenti se non sono stati attivi.
Per risolvere questo problema, è possibile installare e attivare il plugin Inactive Logout. Dopo l’attivazione, andare alla pagina Impostazioni ” Logout inattivo e inserire il tempo dopo il quale si desidera che gli utenti vengano disconnessi automaticamente.
Per maggiori dettagli, consultate il nostro articolo su come disconnettere automaticamente gli utenti inattivi in WordPress.
Ci auguriamo che questo articolo vi abbia aiutato a imparare nuovi suggerimenti e trucchi per proteggere l’area di amministrazione di WordPress. Potreste anche voler consultare la nostra guida definitiva alla sicurezza di WordPress passo dopo passo per i principianti e le nostre scelte degli esperti sui migliori plugin di sicurezza per WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Moinuddin Waheed
Must have tips and tricks for protection of WordPress admin dashboard.
I have used two factor authentication for admin login and also the login limits for admin access.
dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
I didn’t know that we can have these much steps to protect our dashboard.
Thanks for the exhaustive lists of tips for dashboard protection.
WPBeginner Support
Glad to hear you found our list helpful!
Admin
Theo
“This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent.”
I know that this is a 3 and a half years old article!
It would be nice if someone could suggest an alternative! Thank you for your time!
WPBeginner Support
We will certainly take a look at alternatives.
Admin
Raksa Sav
If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?
WPBeginner Support
Hi Raksa,
Yes, they can remove other administrators and take control of your website.
Admin
Muchsin
I want to ask
I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
I use the newspaper theme from tagdiv.
sherizon
what is the best advice in starting up an eceommerce website can i use wordpress?
WPBeginner Support
Hi Sherizon,
Yes you can. Please see our guide on how to start an online store.
Admin
Brenda Donovan
Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?
WPBeginner Support
Hey Brenda,
Yes, you should add it to the bottom.
Admin
Joe
Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.
Dragos
You should also change where you install the default folder of wp-admin.
Abhinav S Thakur
Can anyone fix this?
How shall I force SSL only for admin and rest of the site should be http.
Like wp beginner has non SSL site!
Running wordpress, cPanel
Pinkey
Hi,
I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.
Thanks & best Regards,
Pinkey
Lucy Barret
The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.
John
Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?
Help please!
Craig
Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.
Tahir
smart collection….!!
Talha
Thanks a lot. I have a website . I will set up there.
Pat Fortino
This plugin no longer exists: Stealth Login
Can you recommend an alternative?
Thanks
Lori
I’ve also been told to “remove links to the admin page from the site so that the hacking robots can’t just follow a link.” I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?
(I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)
Emily Johns
Great information!
For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
Tested and happy with it!
Barry Richardson
I was under the impression that the original username (e.g. “admin”) of a WP site cannot be deleted, so even if we did add a new username, the original “admin” would still be available for a potential hacker to exploit.
WPBeginner Support
If you create a new user account with the administrator role, then you can safely delete admin user.
Admin
Sandeep Jinagal
Hyy WPBeginner first of All u are Doing Best OF Best???
And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.
WPBeginner Support
Please see our guide on how to password protect WordPress admin directory.
Admin
Kheti
Thanks for this educative material. Very helpful. Thanks for the good work and support.
ifaheem
great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
After performing above steps (update them by some research), feeling secure a little.
Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!
Prince Jain
Thank you for such a great post.
But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of Wordpress.
Also can you please suggest a plugin to create custom URL for login window.
Mitchell Miller
Stealth Login was removed from WP Plugin repository.
But changing wp-login.php link is the first step to protecting a WordPress site.
laya rappaport
What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?
James Campbell
I’m not sure if there’s a way for you to retrieve your sites information necessarily, but if you’re able to, always create a new user and give other people access through that particular user. This allows you to restrict access to certain areas and you can also delete their access when it’s no longer needed. Giving up your access to your site let’s them block you out.
Lisa Wells
If someone’s changed your WordPress user information, hopefully you can still login to your database through, say phpMyAdmin. From there you should be able to create a new admin user directly in the tables:
https://www.wpbeginner.com/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
One other helpful item not mentioned is database permissions. The Wordpress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
So if you’re doing it directly in mysql, it would be:
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.
Tanmoy Das
Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.
Derick
@Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.
Thorir
Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.
Perhaps this is a helpful factor, security wise?
Mary
Hello, I hope you are well!
This was a great article but a little complicated for me.
because I need the easy way right now, the wordpress firewall plugin looked good but
my fear is losing my login page.
I have spent a long time trying to work with FTP and have not been able to understand it.
Will this be a good plugin for a scaredy cat?? Thanks Mary
Ed van Dun
And what about Bullet Proof Security? It covers some area’s mentioned above and quite a few more.
Prodip
All of the above tips helped me to make my blog with more secured.
Dr. Sean Mullen
This is great info but Please update! Thanks
Guest
I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer “officially” compatible with the latest WordPress (3.4.x-3.5)?
Editorial Staff
Yes, it is in the works along with few other things. We are doing the best we can. Thanks for letting us know.
Admin
whoiscarrus
Just really getting into WP development and can’t say thank you enough! These are great for beggin’n folk like myself!
abhizz
amazing tips about wordpress thank you
Bigdrobek
Great turitorial, but please can you update it?
Few plug-ins is not exist, are old or are hidden by WordPress.org.
– Stealth Login
– Login Lockdown
– Admin SSL
I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?
Faizan Elahi ( BestBloggingTools)
This is a great resource. Thanks
mattjwalk
You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.
Jermaine
The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?
Editorial Staff
You can add custom login if the IP doesn’t match.
Admin
vivek
great post and nice guide for new bloggers like me
fareed
Great post and very useful to me thank you
Daniel
Hacker will think he is successful when he logs in with admin username and finds that the role has been set to ‘subscriber’. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!
Jonathan K. Cohen
This article needs to be revisited. A number of the plugins suggested have not been maintained, and may be incompatible with the latest version of WP.
These include #1, #3, and #5.
John
For #1 ckeck this plugin called WPS Hide Login
Greg
I completely agree with you. I’ve been using the Limit Login Attempts plugin for my WordPress for a while. Today this plugin is outdated. I’ve switched to WP Cerber:
Danang Sukma
Thanks for your post.
Im using password protect for my wp-admin folder in cpanel, is it enough?
mby
uh what a useful info guys, it can help surely!!
thanks for posting! ^_^
anthony
This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!
shoaib hussain
man m moving from one post to the other in your blog and m loving it it.thnx a lot.guess i’ll have to subscribe now.
tzutzu
AWESOME post!! Thank you for this info
Marlin
Thanks Nice list this will surely help to secure wordpress admin panel.