I proprietari di siti web devono dare priorità alla sicurezza di WordPress per proteggere i loro dati sensibili e mantenere la fiducia dei loro utenti. Un modo molto efficace che noi di WPBeginner adottiamo è quello di proteggere con password la directory di amministrazione di WordPress.
La directory wp-admin è il centro di controllo del vostro sito WordPress. È il luogo in cui si gestisce tutto, dai contenuti alle impostazioni, ed è quindi un obiettivo primario per gli hacker. Proteggendo con password i file di amministrazione, questi saranno al sicuro dagli attacchi.
Questo articolo fornisce una guida semplice per proteggere con password la directory wp-admin e rafforzare la sicurezza del sito web.
Perché proteggere con password la directory amministrativa di WordPress?
Proteggendo la directory di amministrazione di WordPress con una password, aggiungete un ulteriore livello di sicurezza al punto di ingresso più importante del vostro sito WordPress.
La dashboard di amministrazione di WordPress è l’hub centrale del vostro sito. È qui che pubblicherete post e pagine, personalizzerete il vostro tema, installerete i plugin di WordPress e molto altro ancora.
Spesso, quando gli hacker cercano di entrare nel vostro sito web, lo fanno attraverso la schermata wp-admin utilizzando un attacco di forza bruta.
Potete contribuire a proteggere il vostro sito web da potenziali attacchi utilizzando misure di sicurezza come una password forte e limitando i tentativi di accesso.
Per essere ancora più sicuri, potete anche proteggere con una password la directory wp-admin. In questo modo, quando qualcuno tenta di accedere alla vostra area di amministrazione, dovrà inserire un nome utente e una password prima di arrivare alla pagina di login di WordPress.
Detto questo, vediamo come proteggere con una password la directory di amministrazione di WordPress, passo dopo passo.
Il primo metodo è consigliato per la maggior parte degli utenti e potete utilizzare i collegamenti rapidi qui sotto per passare direttamente al metodo che desiderate utilizzare:
Video tutorial
Se preferite le istruzioni scritte, continuate a leggere.
Metodo 1: Proteggere wp-admin con password usando Directory Privacy (consigliato)
Il modo più semplice per proteggere con una password la directory di amministrazione di WordPress è utilizzare l’applicazione Directory Privacy del vostro provider di hosting WordPress.
Per prima cosa, dovete accedere al cruscotto del vostro account di hosting e fare clic sull’opzione “Directory Privacy” nella sezione File del cruscotto del vostro sito web.
Nota: la maggior parte degli hosting web che utilizzano cPanel, come Bluehost, prevedono passaggi simili. Tuttavia, il vostro cruscotto potrebbe essere leggermente diverso dalle nostre schermate, a seconda del vostro provider di hosting.
Si accede così a una schermata che elenca tutte le diverse directory presenti sul server. È necessario trovare la cartella che contiene i file del sito web.
Per la maggior parte dei proprietari di siti web, è possibile trovarla facendo clic sulla cartella “public_html”.
In questo modo vengono visualizzati tutti i file del sito web installati sul server.
Successivamente, dovrete fare clic sulla cartella con il nome di dominio del vostro sito web.
In questa cartella, si vedrà una cartella wp-admin.
Invece di fare clic sul nome della cartella, è necessario fare clic sul pulsante “Modifica” accanto alla cartella.
Si accede così a una schermata in cui è possibile attivare la protezione con password.
È sufficiente selezionare la casella “Proteggi questa directory con password”. Se si vuole, si può anche assegnare alla directory un nome, come “Area amministrativa”, per aiutarsi a ricordare.
Una volta fatto ciò, è necessario fare clic sul pulsante “Salva”.
In questo modo si accede a una pagina in cui viene visualizzato il messaggio di conferma.
A questo punto, è necessario fare clic sul pulsante “Torna indietro” e si accede a una schermata in cui è possibile creare un utente in grado di accedere a questa directory.
Vi verrà chiesto di inserire un nome utente e una password e di confermare la password. Assicurarsi di annotare il nome utente e la password in un luogo sicuro, ad esempio in un’applicazione di gestione delle password.
Assicuratevi di fare clic sul pulsante “Salva” al termine di questa operazione.
Ora, quando qualcuno cercherà di accedere alla directory wp-admin, gli verrà richiesto di inserire il nome utente e la password creati in precedenza.
Metodo 2: proteggere con password wp-admin usando il codice
È anche possibile proteggere manualmente la directory di amministrazione di WordPress con una password. Per farlo, dovrete creare due file chiamati .htpasswd e .htaccess.
Nota: l ‘aggiunta di codice al vostro sito WordPress può essere pericolosa. Anche un piccolo errore può causare gravi errori sul vostro sito web. Consigliamo questo metodo solo agli utenti esperti.
Creazione del file .htaccess
Per prima cosa, aprite il vostro editor di testo preferito e nominate il nuovo file .htaccess.
Successivamente, è necessario copiare il seguente frammento di codice e aggiungerlo al file:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Assicuratevi di cambiare il percorso ‘AuthUserFile’ con il percorso in cui caricherete il file .htpasswd e cambiate ‘yourusername’ con il nome utente che volete usare per accedere.
Non dimenticate di salvare il file una volta terminato.
Creazione del file .htpasswd
Una volta fatto questo, è necessario creare un file .htpasswd.
Per farlo, aprite un editor di testo e create un file chiamato .htpasswd. Questo file elencherà il vostro nome utente e la vostra password in un formato criptato.
Il modo più semplice per generare la password criptata è un generatore di htpasswd.
È sufficiente inserire il nome utente e la password, selezionare il formato di crittografia e fare clic sul pulsante “Crea file .htpasswd”.
Il generatore di htpasswd visualizzerà una riga di testo che dovrete incollare nel vostro file .htpasswd. Assicuratevi di salvare il file una volta fatto.
Caricamento di .htaccess e .htpasswd nella directory wp-admin
L’ultimo passo consiste nel caricare entrambi i file creati nella cartella wp-admin del vostro sito web.
Dovrete collegarvi al vostro account di hosting WordPress utilizzando un client FTP o lo strumento di gestione dei file online fornito dal vostro provider di hosting. Per maggiori dettagli, consultate la nostra guida per principianti su come usare l’FTP per caricare file su WordPress.
Per questa esercitazione utilizzeremo FileZilla perché è gratuito e funziona sia su Mac che su Windows.
Dopo essersi collegati al sito web, si vedranno i file sul computer nella finestra di sinistra e i file sul sito web nella finestra di destra. A sinistra, è necessario navigare nella posizione in cui sono stati salvati i file .htaccess e .htpasswd.
Quindi, sulla destra, è necessario andare alla cartella wp-admin del sito web che si desidera proteggere. La maggior parte degli utenti dovrà fare doppio clic sulla cartella public_html, poi sulla cartella con il proprio nome di dominio e infine sulla cartella wp-admin.
A questo punto, è possibile selezionare i due file a sinistra e fare clic su “Carica” dal menu del tasto destro del mouse o semplicemente trascinare i file nella finestra di sinistra.
Ora la cartella ‘wp-admin’ sarà protetta da password.
Risoluzione dei problemi relativi alla protezione con password di wp-admin
A seconda di come sono impostati il vostro server e il vostro sito web, è possibile che vi imbattiate in errori di WordPress. Questi errori possono essere risolti aggiungendo attentamente del codice al file .htaccess.
Nota: questo è il file .htaccess che si trova nella cartella principale del sito web, non quello caricato nella cartella ‘wp-admin’. Se avete problemi a trovarlo, consultate la nostra guida sul perché non riuscite a trovare .htaccess e su come individuarlo.
Correzione dell’errore Ajax non funzionante
Uno degli errori più comuni è che la funzionalità Ajax può smettere di funzionare sul front-end del vostro sito. Se disponete di plugin WordPress che richiedono Ajax, come la ricerca live Ajax o i moduli di contatto Ajax, noterete che questi plugin non funzionano più.
Per risolvere questo problema, basta aggiungere il seguente codice al file .htaccess che si trova nella cartella wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Correzione dell’errore 404 e dei troppi reindirizzamenti
Altri due errori in cui ci si può imbattere sono l’errore 404 e l’errore di troppi reindirizzamenti.
Il modo più semplice per risolverli è aprire il file .htaccess principale nella directory del sito web e aggiungere la seguente riga di codice prima delle regole di WordPress:
ErrorDocument 401 default
Bonus: Le migliori guide di WordPress per la sicurezza di wp-admin
Speriamo che questo articolo vi abbia aiutato a capire come proteggere con password la directory di amministrazione di WordPress (wp-admin). Potreste voler consultare altre guide su come rendere più sicura la vostra area di amministrazione:
- Come limitare l’accesso all’amministrazione di WordPress in base all’indirizzo IP
- Suggerimenti vitali per proteggere l’area amministrativa di WordPress (aggiornato)
- Come aggiungere un URL di accesso personalizzato in WordPress (passo dopo passo)
- Come e perché limitare i tentativi di accesso in WordPress
- Come aggiungere l’autenticazione a due fattori in WordPress (metodo gratuito)
- Come aggiungere domande di sicurezza alla schermata di login di WordPress
- Come forzare gli utenti a cambiare la password in WordPress – Scadenza della password
- Come resettare le password di tutti gli utenti in WordPress
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Mrteesurez
Thanks. I found it helpful.
I want to ask if the methods are all offering the same level of security, I would prefer and recommend to stick to the first method as it seems easy and straight forward.
Or is there any one that is better than the other ??
WPBeginner Support
These are different methods to achieve the same result so it would depend on your preference for which one you would use.
Admin
Mark
Is there anyway for hackers to gain access to this password and even change it, like in phpMyAdmin ?
WPBeginner Support
They would need access to your hosting provider or site files for this guide.
Admin
Salman
I have changed my login URL using the “WPS Hide Login” plugin. Lets say the previous URL ended in wp-admin/ and the new URL ends in hidden/ now how can I password protect this new URL?
WPBeginner Support
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
Admin
Jiří Vaněk
WPShide doesn’t create a new folder, I use that too. The wp-admin folder is still on the server and functional. So if you use WPSHide, secure the wp-admin folder exactly the same.
Jiří Vaněk
A good practice is also to rename the WordPress administration URL and choose a different administrator username than ‘admin.’ Changing the URL makes it harder for attackers to locate the administration, and not using ‘admin’ as the administrator reduces the risk of a successful brute force attack.
WPBeginner Support
Having a username other than admin is definitely recommended but for changing the wp-admin url is not always recommended as that can cause trouble with some plugins as well as make troubleshooting more difficult.
Admin
Jose
Ajax fix worked fine. Thanks a lot for this.
WPBeginner Support
Glad our article could help
Admin
Umer Yaseen
What if someone accesses our WordPress admin directory by entering mywebsite.com/wp-login.php instead of mywebsite.com/wp-admin. This method only protects wp-admin and not protects wp-login.php. So how it is useful?
WPBeginner Support
This would show the same prompt for users trying to log in using the wp-login.php
Admin
nadia
you are the best. thanks for thousand time like allways.
WPBeginner Support
Glad you’ve found our content helpful
Admin
Lordemmaculate
I want to do this but my server is Nginx not Apache so I can’t use .htaccess
WPBeginner Support
We’ll see if we can add a method for that type of server when we update this article
Admin
Rajah
The first method through cPanel worked like a charm. However, when I logout again from WP and login again it doesn’t ask again for the directory password. Is it meant to ask only once?
WPBeginner Support
Your cookies/cache will remember the login information. Normally the next time you start up your computer it will require you to log in again.
Admin
Webo
Very good, Thank you…
WPBeginner Support
You’re welcome
Admin
Izzy
The “Password Protect Directories” is not on my cPanel under “securitiy”, so I tried the manual way, but it doesn’t seem to work as it doesn’t ask for login when I open wp-admin…
WPBeginner Support
If you reach out to your hosting provider they should be able to assist and take a look if there’s any reason it wouldn’t be working.
Admin
Ahsan Ali
Thanks for your efforts!
I used cpanel method it works fine but the problem is that the password prompt appearing on every page of my website!
What i have to do so that it appear only at wp-admin page?
WPBeginner Support
It sounds like you may have password protected your public_html folder instead of the wp-admin folder. You would want to remove the current protection and attempt to set it up again
Admin