I proprietari di siti web devono dare priorità alla sicurezza di WordPress per proteggere i loro dati sensibili e mantenere la fiducia dei loro utenti. Un modo molto efficace che noi di WPBeginner adottiamo è quello di proteggere con password la directory di amministrazione di WordPress.
La directory wp-admin è il centro di controllo del vostro sito WordPress. È il luogo in cui si gestisce tutto, dai contenuti alle impostazioni, ed è quindi un obiettivo primario per gli hacker. Proteggendo con password i file di amministrazione, questi saranno al sicuro dagli attacchi.
Questo articolo fornisce una guida semplice per proteggere con password la directory wp-admin e rafforzare la sicurezza del sito web.
Perché proteggere con password la directory amministrativa di WordPress?
Proteggendo la directory di amministrazione di WordPress con una password, aggiungete un ulteriore livello di sicurezza al punto di ingresso più importante del vostro sito WordPress.
La dashboard di amministrazione di WordPress è l’hub centrale del vostro sito. È qui che pubblicherete post e pagine, personalizzerete il vostro tema, installerete i plugin di WordPress e molto altro ancora.
Spesso, quando gli hacker cercano di entrare nel vostro sito web, lo fanno attraverso la schermata wp-admin utilizzando un attacco di forza bruta.
Potete contribuire a proteggere il vostro sito web da potenziali attacchi utilizzando misure di sicurezza come una password forte e limitando i tentativi di accesso.
Per essere ancora più sicuri, potete anche proteggere con una password la directory wp-admin. In questo modo, quando qualcuno tenta di accedere alla vostra area di amministrazione, dovrà inserire un nome utente e una password prima di arrivare alla pagina di login di WordPress.
Detto questo, vediamo come proteggere con una password la directory di amministrazione di WordPress, passo dopo passo.
Il primo metodo è consigliato per la maggior parte degli utenti e potete utilizzare i collegamenti rapidi qui sotto per passare direttamente al metodo che desiderate utilizzare:
Video tutorial
Se preferite le istruzioni scritte, continuate a leggere.
Metodo 1: Proteggere wp-admin con password usando Directory Privacy (consigliato)
Il modo più semplice per proteggere con una password la directory di amministrazione di WordPress è utilizzare l’applicazione Directory Privacy del vostro provider di hosting WordPress.
Per prima cosa, dovete accedere al cruscotto del vostro account di hosting e fare clic sull’opzione “Directory Privacy” nella sezione File del cruscotto del vostro sito web.
Nota: la maggior parte degli hosting web che utilizzano cPanel, come Bluehost, prevedono passaggi simili. Tuttavia, il vostro cruscotto potrebbe essere leggermente diverso dalle nostre schermate, a seconda del vostro provider di hosting.
Si accede così a una schermata che elenca tutte le diverse directory presenti sul server. È necessario trovare la cartella che contiene i file del sito web.
Per la maggior parte dei proprietari di siti web, è possibile trovarla facendo clic sulla cartella “public_html”.
In questo modo vengono visualizzati tutti i file del sito web installati sul server.
Successivamente, dovrete fare clic sulla cartella con il nome di dominio del vostro sito web.
In questa cartella, si vedrà una cartella wp-admin.
Invece di fare clic sul nome della cartella, è necessario fare clic sul pulsante “Modifica” accanto alla cartella.
Si accede così a una schermata in cui è possibile attivare la protezione con password.
È sufficiente selezionare la casella “Proteggi questa directory con password”. Se si vuole, si può anche assegnare alla directory un nome, come “Area amministrativa”, per aiutarsi a ricordare.
Una volta fatto ciò, è necessario fare clic sul pulsante “Salva”.
In questo modo si accede a una pagina in cui viene visualizzato il messaggio di conferma.
A questo punto, è necessario fare clic sul pulsante “Torna indietro” e si accede a una schermata in cui è possibile creare un utente in grado di accedere a questa directory.
Vi verrà chiesto di inserire un nome utente e una password e di confermare la password. Assicurarsi di annotare il nome utente e la password in un luogo sicuro, ad esempio in un’applicazione di gestione delle password.
Assicuratevi di fare clic sul pulsante “Salva” al termine di questa operazione.
Ora, quando qualcuno cercherà di accedere alla directory wp-admin, gli verrà richiesto di inserire il nome utente e la password creati in precedenza.
Metodo 2: proteggere con password wp-admin usando il codice
È anche possibile proteggere manualmente la directory di amministrazione di WordPress con una password. Per farlo, dovrete creare due file chiamati .htpasswd e .htaccess.
Nota: l ‘aggiunta di codice al vostro sito WordPress può essere pericolosa. Anche un piccolo errore può causare gravi errori sul vostro sito web. Consigliamo questo metodo solo agli utenti esperti.
Creazione del file .htaccess
Per prima cosa, aprite il vostro editor di testo preferito e nominate il nuovo file .htaccess.
Successivamente, è necessario copiare il seguente frammento di codice e aggiungerlo al file:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Assicuratevi di cambiare il percorso ‘AuthUserFile’ con il percorso in cui caricherete il file .htpasswd e cambiate ‘yourusername’ con il nome utente che volete usare per accedere.
Non dimenticate di salvare il file una volta terminato.
Creazione del file .htpasswd
Una volta fatto questo, è necessario creare un file .htpasswd.
Per farlo, aprite un editor di testo e create un file chiamato .htpasswd. Questo file elencherà il vostro nome utente e la vostra password in un formato criptato.
Il modo più semplice per generare la password criptata è un generatore di htpasswd.
È sufficiente inserire il nome utente e la password, selezionare il formato di crittografia e fare clic sul pulsante “Crea file .htpasswd”.
Il generatore di htpasswd visualizzerà una riga di testo che dovrete incollare nel vostro file .htpasswd. Assicuratevi di salvare il file una volta fatto.
Caricamento di .htaccess e .htpasswd nella directory wp-admin
L’ultimo passo consiste nel caricare entrambi i file creati nella cartella wp-admin del vostro sito web.
Dovrete collegarvi al vostro account di hosting WordPress utilizzando un client FTP o lo strumento di gestione dei file online fornito dal vostro provider di hosting. Per maggiori dettagli, consultate la nostra guida per principianti su come usare l’FTP per caricare file su WordPress.
Per questa esercitazione utilizzeremo FileZilla perché è gratuito e funziona sia su Mac che su Windows.
Dopo essersi collegati al sito web, si vedranno i file sul computer nella finestra di sinistra e i file sul sito web nella finestra di destra. A sinistra, è necessario navigare nella posizione in cui sono stati salvati i file .htaccess e .htpasswd.
Quindi, sulla destra, è necessario andare alla cartella wp-admin del sito web che si desidera proteggere. La maggior parte degli utenti dovrà fare doppio clic sulla cartella public_html, poi sulla cartella con il proprio nome di dominio e infine sulla cartella wp-admin.
A questo punto, è possibile selezionare i due file a sinistra e fare clic su “Carica” dal menu del tasto destro del mouse o semplicemente trascinare i file nella finestra di sinistra.
Ora la cartella ‘wp-admin’ sarà protetta da password.
Risoluzione dei problemi relativi alla protezione con password di wp-admin
A seconda di come sono impostati il vostro server e il vostro sito web, è possibile che vi imbattiate in errori di WordPress. Questi errori possono essere risolti aggiungendo attentamente del codice al file .htaccess.
Nota: questo è il file .htaccess che si trova nella cartella principale del sito web, non quello caricato nella cartella ‘wp-admin’. Se avete problemi a trovarlo, consultate la nostra guida sul perché non riuscite a trovare .htaccess e su come individuarlo.
Correzione dell’errore Ajax non funzionante
Uno degli errori più comuni è che la funzionalità Ajax può smettere di funzionare sul front-end del vostro sito. Se disponete di plugin WordPress che richiedono Ajax, come la ricerca live Ajax o i moduli di contatto Ajax, noterete che questi plugin non funzionano più.
Per risolvere questo problema, basta aggiungere il seguente codice al file .htaccess che si trova nella cartella wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Correzione dell’errore 404 e dei troppi reindirizzamenti
Altri due errori in cui ci si può imbattere sono l’errore 404 e l’errore di troppi reindirizzamenti.
Il modo più semplice per risolverli è aprire il file .htaccess principale nella directory del sito web e aggiungere la seguente riga di codice prima delle regole di WordPress:
ErrorDocument 401 default
Bonus: Le migliori guide di WordPress per la sicurezza di wp-admin
Speriamo che questo articolo vi abbia aiutato a capire come proteggere con password la directory di amministrazione di WordPress (wp-admin). Potreste voler consultare altre guide su come rendere più sicura la vostra area di amministrazione:
- Come limitare l’accesso all’amministrazione di WordPress in base all’indirizzo IP
- Suggerimenti vitali per proteggere l’area amministrativa di WordPress (aggiornato)
- Come aggiungere un URL di accesso personalizzato in WordPress (passo dopo passo)
- Come e perché limitare i tentativi di accesso in WordPress
- Come aggiungere l’autenticazione a due fattori in WordPress (metodo gratuito)
- Come aggiungere domande di sicurezza alla schermata di login di WordPress
- Come forzare gli utenti a cambiare la password in WordPress – Scadenza della password
- Come resettare le password di tutti gli utenti in WordPress
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Onyenucheya Somto
please where can I find my main WordPress .htaccess file
WPBeginner Support
That would be where your WordPress folders are, you could either use FTP or your host’s file manager if they have one to get to your WordPress files.
Admin
CHHRIS
Please this settings works fine for me, but my problem is that am using woocommerce and yith woocoomerce my account page, so when ever users login to their my-account area they are often prompted to put the login details for my protected admin, how can i fix this?
WPBeginner Support
For that, you would want to remove this protection unless you wanted to give each user a login for the httpassword
Admin
Jose
My wp-admin login page is broken after use that code.
I set the ajax fixit, but, still broken.
WPBeginner Support
It would depend on the specific error you are running into when trying to get to your admin area for how to solve the problem
Admin
Rahul Yogi
Hy buddy, i had tried cpanel method which doesnt work for me but manual method work as shown above.
But i have one problem after going example.com/admin, i have to enter directory username and password but after after entering nothing happens means it does not redirect me to dashboard or anywhere. Just same page — shoing waiting for connection for example.com and get error too many redirect.
WPBeginner Support
You may want to try the recommendations in our article: https://www.wpbeginner.com/wp-tutorials/how-to-fix-error-too-many-redirects-issue-in-wordpress/
for the twoo many redirects, another option would be to make sure you fix the ajax issue using the method at the bottom of this article
Admin
Rahul Yogi
Thanks buddy, everything is working fine.
WPBeginner Support
Glad to hear
Brian
Wow,
You are a legend! Spent like 2hrs jumping from site to site to get this working… First site that mentioned the ErrorDocument 401 default. Works like a charm now
Thanks
WPBeginner Support
Glad our guide could help
Admin
Deb
Thanks so much – this is the first place I have found with all 3 bits of code that was needed – (I had the redirect problem). The code worked like a charm. I now have an extra layer of protection without adding another potentially vulnerable plugin.
WPBeginner Support
Glad our article could help
Admin
Garry
All I get after adding the above code in a .htacess file on /wp-admin folder is 500 internal server error.
WPBeginner Support
If the htaccess method is not working you could remove the code and then use the cpanel method for password protecting the directory
Admin
Colleen
I did this, followed the link for the error message and for some reason I don’t have a .htaccess file!
WPBeginner Support
The .htaccess by default is a hidden file, are you showing hidden files? https://www.wpbeginner.com/beginners-guide/why-you-cant-find-htaccess-file-on-your-wordpress-site/
Admin
Samwel
I followed the steps but i now can’t log in . It says “The server encountered an internal error or misconfiguration and was unable to complete your request.”
even on refreshing the page the pop up to key in password does not re-appear help out
WPBeginner Support
or resolving that error, you would want to take a look at our article here: https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-internal-server-error-in-wordpress/
Admin
maria hag
hi,
i bought new name and i change the name of website and than save it . now i cant login to admin. it show me 404 erorr
how can i change it
please advise
WPBeginner Support
You would want to reach out to your hosting provider and they should be able to help you have your new domain point toward where your site is currently
Admin
taher
I have activated password protection to wordpress directory via c-panel but wordfence is unable to scan my site. Due to ajax issue.
I tried fixing it by updating my wp-admin/.htaccess file with the provided code by you but wordfence is still unable to start a scan. What do you suggest?
WPBeginner Support
You may want to ensure your caching is cleared and if that error continues, reach out to Wordfence about their plugin
Admin
Amit Mukherjee
Enabling password protection of the wp-admin directory prevents me as logging in as the administrator. I get a page not found error. I cannot get to the login page. If I remove the password protection, I can login.
What should I do. I am setting up a Wordpress website for the first time.
WPBeginner Support
Hi Amit,
Yes you can remove password protection at anytime.
Admin
mary-anne J.
So how do you undo the password protect using the cPanel ..that is, I want to remove my password protection for the wp-admin directory
Keri
I followed the instructions to add the password protection using c_panel.
It works fine in IE 11 but doesn’t work in: Edge; Firefox; Chrome; or Opera.
Any ideas?
WPBeginner Support
Hi Keri,
Please review your settings in cPanel to make sure you didn’t miss anything.
Admin
Keri
I’m not sure what I missed, given that it worked in IE but not in the other browsers. I deleted the user to whom I had given access and added the same user back in and, “Voila!”, all is good.
Valentin
> Upload this file outside your /public_html/ directory.
Good advice—more generally: outside your DocRoot.
> A good path would be: home/user/.htpasswds/public_html/wp-admin/passwd/
That, however, doesn’t seem to be outside your DocRoot
Amigan
How could we integrate this solution on IIs?
Thanks in advance for your help!
pawan singh
hi syed, i followed your tutorial as i do always whenever i find a problem but i am facing this error continiously.
ERROR –
“401
Unauthorized
Proper authorization is required to access this resource!”
1. I made htpassword file properly with user name and password.
2. Edited main .htaccess file with proper code.
3. Implemented this line in .htaccess file on topas first line
ErrorDocument 401 default
4. Add AJAX functionality code
After doing all this i see additional popup box which need login details for wp-admin. – Success here
But i’m not able to access my home page like example.com. popupbox appears again without calling /wp-admin. Please tell how to remove this 401 Error. I see that many bloggers asked this issue in comment section, but you didn’t reply. I hope you will soon address the problem.
WPBeginner Support
Hello Pawan,
This could be because the password your entered is incorrect or your server couldn’t find the .htpasswds file. We will recommend you to retrace your steps to figure out what went wrong.
Admin
Robbiegod
I am seeing the same issue. On subpages on my site, when I have my /wp-admin/ .htaccess password protecting my site, I get the user/pass pop-up box on pages on the front end.
The temporary solution was to just remove the htaccess file from wp-admin. Now i am trying to put it back, so I’ll see what i can come up with and post back if i figure it out.
Arinze Ifeanyi
Thank you for this. I worked really well especially that line “ErrorDocument 401 default” that prevented it from giving 404 error. I really dont miss tweet from you. My question now is, how can someone remove the password? And again, will the password be required upon users registration via a custom registration page?
Rony Ahamed
after using this method now when i try to go in wp-admin its says me maintenance mood ( this mode is on in my wp dashboard ) .. so how can i use it ?
Adrian
Do you have a method using IIS? I’ll be glad if you have. I’m very new to WordPress running in IIS server.
pawan
hi how to change my cpanel default url like “www.example.com/cpanel” to “www.example.com/customized”
there is nothing on the internet about this topic.
Edgar
Hi my dear friends I have a problem. I want to make double autentification on my wordpress.But there is conflict in wordpress htacsess between wp default rules and this code:
AuthType Basic
AuthName “Password Protected”
AuthUserFile path/to/.htpasswd
Require valid-user
Satisfy All
I get error like 500 or error “this page is wrong”, but after delating wp default rules my code work.There is some conflict between wp code and my code! Can anyone take solution!
Aurangzeb
A very nice approach, but I also suggest to go secure with https, because no matter how protected the admin panel is, with passwords, the passwords itself are not secure if it’s not https.
Daljit Singh
Hey guys, my issue is related to this post but it is little different too.
I need to password protect my wp-content folder in my hosting.
I called my godaddy hosting and they said that it is not possible.
But i need to password protect it.
Can someone help me out please?
Akhil
Password Protecting WordPress Admin with Permalink “Post Name” gives error error login page( Redirect too many times). How to solve?
ianx
Hello sir,
its mean “Basic Authentication” ?
how do i using on newest Nginx?
Harmony A-E
Can I do this for my wp-login?
The wp-admin is password protected and gives out a 401 if some tries to exit the pop-up (so 0 access without the 1st password).
But my wp-login allows access to a disfigured wp-login page if someone exits out of the pop-up.
Fabio
Works fine in my blog. Thanks.
Frank
That’s a great article.
However, I’d like to ask you how can I track the who visits the page (IP, etc) even though if they don’t type any username or password or type wrong ones. I can’t seem to find a way to do that.
Please let me know.
Thanks!
WPBeginner Support
Hey Frank,
Check out our guide on how to monitor user activity in WordPress.
Admin
Frank
Thanks for the reply.
I installed the Simple History plugin you recommend but it does not seem to track the http authentication either.
Any ideas?
WPBeginner Support
Hi Frank,
Sorry for misunderstanding your question. You can track http authentication in your server logs. However, usually these logs contain all access and errors to your website. Some website hosts offer apps in cPanel that make it easier to browse those logs. On some hosting environments you can even create custom log files of your own.
Deivamoorthy
Thanks for this article. It is really helped me lot save the login form anonymous person. But, i have an issue on my site. Whenever the user visits and entering to the single post page it asks the user enter the username password, Even though they have didn’t accessed the wp -admin. it happens only in Mozilla browser. How to solve this?
Toan
I has finished setting protect password for wp-admin folder. But i can not registered new account for guest. Because it apperance pop-up login require username/password.
WPBeginner Support
Yes, you will have to either share the username password with the guest, or disable password protection.
Admin
paras arora
sir actually i have changed my admin directory from example.com/wp-admin to example.com/abcde …how to password protect it now
WPBeginner Support
Just password protect abcde directory instead of wp-admin.
Admin
Clecio
Thank you !
Sarah
Thanks for this valuable info.I have question I want to setup limit login Attempts if users fails 1st time then try after 24 hrs latter how to I make this on cpanel?
RJ
Hi there I do password protect my wp-admin directory and I did add that code to my htaccess …but…it is still asking for authorization.
Any suggestions?
Sacha
Thanks for the tip!
dipesh
i dont ve set password for wp-admin folder but still it shows authorization dialog .
how to solve the issue,
Fabio
Hello, after the first login in wp-admin I got 500 “Internal Server Error”…
Fabio
Fabio
Solved, the problem was in server configuration
Gaurav Agrawal
Hi, I am also facing the same problem. May I know what are the changes that have to be done in server configuration?
Please let me know as soon as possible.
Cjay
I recently added password protected my “wp-admin” directory and my “wp-includes” directory. Now each time i try to access my “wp-admin” page with it’s username and password that i created i get to dialogue box popping up for me to enter the username and password for that of the “wp-includes” directory before signing in to the main wordpress admin page.
Have you encountered such issue with wordpress before?
Lissa
Thanx so much for this! After an extended break from blogging I installed a new blog today and as soon as I password protected the admin directory I got the redirect error. This fix worked flawlessly
abey
After setting this security. Server always ask for password with a popup even in a user visit the site home page. Is there any way to overcome this.
Abhimanyu
This gets resolved once you add the htaccess entry for admin-ajax.php. Follow the tutorial section towards the end.
Mariah Zuzuvecha
You saved me a lot of time .
I was looking arrange the problem and you post save me !
thanks again ¡
ece
There is no htaccess file in my wp-admin folder! There is only one in var/www
How do I fix the Ajax problem?
Ricardo
It’s a good method but the problem is that regular users can’t recover their password if they click on “Lost your password?” link (/wp-login.php?action=lostpassword).
How could I prevent that?
Daniel Papenfuß
Hey Bro,
your hint for the ajax file helped me a lot – thx for that
Bye,
Daniel
ajakayetolu
I recently install wordpress but mydomain/wp-admin/ keeps asking for username and password despite inputing the correct password and username its just as if it is refreshing itself.
WPBeginner Support
Please take a look at How to fix WordPress login page refreshing and redirecting issue.
Admin
【Ƿ】 Fran Kee
Good Tutorial. While admin-ajax.php might need extra enabling,
there is one file on one level up (WP root level), that imho deserves extra disabling:
require user
Unless you truly have a blog where regular readers obtain WP accounts for commenting or such, this is not necessary. Extra-htpasswd-protecting this makes brute-forcing of WP accounts harder…
Jeff
Thanks! You just saved me a lot of time with that AJAX fix. I was looking everywhere and couldn’t figure out the problem!
dylanatstrumble
Hi,
I have tried putting the ErrorDocument 401 default in many places in the main .htaccess file to no avail
I am running W3 Total Cache and the first chunk of the code relates to that
I have put it before the W3 code which results in a 500, I have tried putting it after the W3 code # END W3TC just before the # BEGIN WordPress
I get a 500 there as well
If only this would work, I would be a happy camper
Hosted by Go Daddy and creating the protected folder via CPanel
I am putting off calling Go Daddy for the fourth time. as on this particular issue, they have not been at their best
Thanks in advance
WPBeginner Staff
Are you certain that you are entering the correct username and password?
Rauf
yes…now i unclick the wp-admin password directory from c panel…and off it