Quasi tutti sanno come raggiungere la barriera di accesso all'area di amministrazione di WordPress per impostazione predefinita. Dal momento che oltre il 34% di tutti i siti web è basato su WordPress, è facile per gli hacker trovare e attaccare le aree di login di questi siti web. Proprio per questo motivo, gli attacchi di questo tipo, come quelli di forza bruta, sono tra i più comuni sui siti web WordPress. Nascondere l'area di amministrazione di WP sembra essere una semplice misura di protezione. Oggi ti mostrerò quanto è utile questa tecnica e come puoi implementarla con plugin come WPS Hide Login.
Gli attacchi di forza bruta sono probabilmente il tipo di attacco più comune ai siti web WordPress. Solo il fornitore di sicurezza Wordfence ha misurato quasi 1 miliardo di attacchi di questo tipo nel 2017 in alcuni mesi di quest'anno - senza contare il numero di casi non segnalati. Per ridurre il rischio di sicurezza rappresentato dagli attacchi di forza bruta, in linea di principio ha senso limitare i tentativi di accesso dopo un numero eccessivo di tentativi falliti. Inoltre, molti webmaster di WordPress utilizzano un altro metodo: spostano l'area di amministrazione di WP in modo da non trovarla più con il suffisso wp-admin.
Molti plugin di sicurezza offrono anche una funzione corrispondente. Chi può, osa anche utilizzare il file .htaccess. Ma nascondere l'area di amministrazione di WP da solo non è una misura di sicurezza davvero valida. Ma può essere un'utile aggiunta.
Nascondi l'amministrazione di WP: Qual è il punto?
Dietro l'idea di nascondere l'area di amministrazione di WP c'è il principio della sicurezza attraverso l' oscurità, ovvero l'idea che la sicurezza di un sistema è più forte finché la sua funzionalità rimane segreta. O in altre parole: se l'aggressore non sa dov'è la tua porta d'ingresso, può aggirarsi per casa tua, ma non può entrare.
La sicurezza attraverso l'oscurità: una tigre senza denti nella pratica
Questo approccio è controverso tra gli esperti - e non senza ragione. In questo caso, il fatto che le informazioni siano sicure non significa che non siano più accessibili. Esistono, ma sono nascoste. Ma con gli strumenti giusti, gli hacker possono comunque trovare la tua pagina di login se vogliono.
Ed è qui che entra in gioco il vero problema della sicurezza attraverso l'oscurità: questo approccio viene spesso utilizzato per nascondere problemi che invece dovrebbero essere eliminati del tutto. Se il tuo nome di amministratore è admin e la tua password è123!, l'hacker entrerà nel tuo back end in un batter d'occhio una volta trovata la tua pagina di login nascosta.
In breve, un'area di amministrazione nascosta non impedisce ai malintenzionati di attaccare, ma aumenta solo il tempo impiegato per portare a termine l'attacco. Purtroppo, però, è impossibile nascondere completamente il fatto che i tuoi progetti sono siti web WordPress. Quindi nascondere l'amministrazione di WP non dovrebbe essere la tua unica misura di sicurezza. Chiunque ti stia prendendo di mira non potrà sfuggire.
Il concetto di sicurezza attraverso l'oscurità è quindi idealmente uno dei tanti livelli del tuo concetto di sicurezza. Limitare i tentativi di accesso (LLA), una password forte che includa l'autenticazione a due fattori e, se ne utilizzi una, un plugin di sicurezza configurato in modo pulito sono un mix sensato. Nascondere l'area di amministrazione è solo la ciliegina sulla torta.
In alcuni casi, nascondere l'admin di WP ha ancora senso
Ora ci sono effettivamente alcune situazioni in cui può avere perfettamente senso nascondere l'admin di WP:
- Nascondere l'admin di WP ha una forte influenza sulla percezione della sicurezza di un sito web WordPress. Soprattutto se lavori per conto di un cliente, un WP-Admin nascosto ha senso per massimizzare la percezione di sicurezza del cliente.
- Se gli hacker sferrano un attacco brute force al tuo sito web, il tuo server potrebbe "surriscaldarsi" semplicemente a causa dell'elevato numero di richieste. Se sposti l'area di amministrazione, almeno togli il vento dalle vele degli attacchi brute force primitivi fin dall'inizio.
- Puoi sorprendere positivamente alcuni clienti nascondendo l'area di amministrazione, ad esempio spostandola in /NameOfYourCompany. In questo modo, puoi creare un piccolo ma sottile effetto di branding.
Come potete vedere, queste misure sono di natura più cosmetica. Ma anche una maggiore sicurezza percepita può talvolta aiutare. Ecco perché ti mostrerò qui sotto come puoi proteggere il tuo admin WP con e senza plugin .
Nascondi l'amministrazione di WP con i plugin
Gli ottimi plugin di sicurezza ti permettono anche di nascondere l'area di amministrazione e l'esatta natura del tuo sito web, oltre a molte altre funzioni. Come ho detto, ho una visione critica: installare un plugin ingombrante solo per cambiare un URL non risolverà tutti i tuoi problemi in un colpo solo. Solo dopo un esame approfondito dell'argomento potrai decidere quali misure di sicurezza hanno senso per il tuo progetto.
Per quanto riguarda i plugin, invece, hai sostanzialmente due opzioni:
- plugin magri progettati solo per nascondere l'area di login
- Plugin che includono la possibilità di nascondere l'area di accesso ma che possono fare molto di più
I plugin di sicurezza completi sono più ingombranti a causa delle loro funzionalità estese. Pertanto, hanno senso solo se sai cosa vuoi ottenere con essi: ad esempio, bloccare IP specifici, utilizzare il firewall delle applicazioni web (WAF) o beneficiare dei report dei plugin.
Installare un plugin di grandi dimensioni solo per nascondere l'area di amministrazione è eccessivo. La velocità di caricamento ne risente e il risultato è che il valore aggiunto è minimo. Inoltre, non può sostituire la gestione delle funzioni di sicurezza.
Nascondere l'area di amministrazione con un plugin è quindi consigliabile solo se è possibile utilizzarlo senza una grande perdita di prestazioni o di funzionalità - come un " nice to have", per così dire. Non consiglio di installare un plugin di grandi dimensioni come iThemes Security o Wordfence appositamente per questo scopo.
Ecco invece due alternative più eleganti per nascondere l'area di amministrazione:
WPS Hide Login
Il plugin gratuito WPS Hide Login fa esattamente una cosa: cambia i due URL /wp-admin e /wp-login.php in indirizzi da te specificati. Questo aggiunge un ostacolo agli hacker e rende il tuo sito web un po' più sicuro. Con oltre un milione di installazioni attive e una valutazione media di 4,9 stelle (con oltre 2.000 recensioni!), il plugin ha dato prova di sé nella pratica.
WP Hide & Security Enhancer
Questo plugin gratuito nasconde il fatto che il tuo sito web gira su WordPress. Se questo abbia senso in linea di principio resta da vedere (con uno strumento come BuiltWith può essere riportato rapidamente alla luce), ma allo stesso tempo cambia gli URL /wp-admin e /wp-login.php in qualsiasi altro URL. Oltre 80.000 webmaster utilizzano attualmente il plugin e la valutazione media è di 4,3 stelle.
Non avere paura del codice scadente: Protezione con .htaccess
Se vuoi nascondere il fatto che il tuo sito web è un'installazione di WordPress, puoi farlo tramite plugin come WPS Hide Login. Oppure puoi affrontare direttamente il file .htaccess. Si tratta di uno dei file più importanti per le installazioni di WordPress che girano su server Apache. Il file .htaccess definisce, ad esempio, quali file e directory del tuo sito web sono visibili e chi ha accesso a cosa.
.htaccess e Raidboxes
Raidboxes I siti web non vengono eseguiti su server Apache, quindi il file .htaccess non ha alcuna influenza sul server web. Se hai un hosting WordPress su Raidboxes , puoi utilizzare la nostra protezione di accesso.
Con piccole modifiche a questo file, puoi dare al tuo sito web un ulteriore livello di sicurezza. In particolare, si aggiungono singoli snippet di codice che limitano l'accesso a wp-config.php o bloccano determinati IP. Ti consiglio di fare sempre un backup di questo file prima di apportare qualsiasi modifica: se qualcosa dovesse andare storto, potrai ripristinare lo stato originale in modo semplice e veloce. Inoltre, con .htaccess, anche un piccolo errore nel codice può essere sufficiente a paralizzare il tuo sito web.
Variante 1: Consenti solo alcuni IP
In linea di principio, qualsiasi directory può essere protetta con un .htaccess; in questo caso, vuoi proteggere in modo specifico l'area di amministrazione. Pertanto, caricherai un nuovo .htaccess nella directory wp-admin. Se invece specifichi nella directory principale di WordPress che solo alcuni IP hanno accesso, escluderai tutti gli altri dall'intero sito web invece che solo dall'area di amministrazione.
Nel file .htaccess della directory di amministrazione, ora hai la possibilità di bloccare l'accesso a determinati IP. Se utilizzi un IP statico, è consigliabile escludere tutti gli IP tranne il tuo. In questo modo, solo tu potrai accedere all'area di amministrazione.
Puoi fare lo stesso per escludere gli IP dal sito wp-login.php. Gli IP non autorizzati possono, ad esempio, essere reindirizzati a una pagina 404 (o a un'altra pagina a tua scelta) e non raggiungere più la schermata di login. Questo può essere fatto inserendo il codice appropriato.
- Il Codex di WordPress descrive come proteggere le singole directory della tua installazione di WordPress.
- I colleghi di WP-Beginner ti mostrano in dettaglio come proteggere WP-Admin tramite .htaccess
- Il produttore del plugin wpmudev mostra in una guida completa come puoi utilizzare .htaccess per proteggere i tuoi siti web.
Variante 2: Configura la protezione con password (o l'autenticazione a due fattori)
Un'altra opzione molto utilizzata per proteggere l'area di amministrazione con l'.htaccess è quella di creare un'autenticazione HTTP aggiuntiva. Il server richiede quindi i dati di accesso corrispondenti per raggiungere la pagina di login di WordPress.
Questo comporta un po' di fatica in più per l'utente al momento dell'accesso, ma molti attaccanti gettano la spugna a questo punto. Gli attacchi di forza bruta vengono bloccati prima ancora di iniziare. Tuttavia, anche questa protezione non è del tutto infallibile, poiché molti attacchi avvengono tramite l'interfaccia XMLrpc. Gli hacker possono eseguire attacchi DDoS e brute force attraverso questa interfaccia, che è implementata per impostazione predefinita. Gli attacchi sono simili a quelli al sito wp-admin, ma possono essere richieste centinaia di combinazioni di login e password allo stesso tempo. Pertanto, a questo punto è necessario dire che la protezione più sensata non è un login aggiuntivo, ma un'autenticazione a due fattori.
Tuttavia, per creare un'ulteriore protezione con password, oltre all'.htaccess è necessario un altro file, il cosiddetto .htpasswd. Questo file contiene i dati di accesso necessari per l'autenticazione. Per crearlo, puoi utilizzare gli appositi strumenti online. Questi crittografano la password desiderata (ad esempio Günterdergroße86) secondo il formato MD5 (Günterdergroße86 si presenta quindi così: $apr1$R71r9bVr$6S99bG1Z9R9yHXcOCG6m/). MD5 è uno dei cinque formati di password con cui il server Apache può lavorare. Alla fine, dovrai ricordare solo la password non criptata: il server si occuperà automaticamente del resto.
Il file .htpasswd creato in questo modo viene posizionato allo stesso livello del file .htaccess, di solito il livello superiore della directory di WordPress.
Nel file .htaccess, ora definisci che l'autenticazione HTTP deve avvenire quando si accede a wp-login.php e crea un collegamento a .htpasswd tramite un frammento di codice. In questo modo, il server può accedere ai dati di accesso precedentemente definiti nell'altro file. Il funzionamento è spiegato qui, a titolo di esempio.
Il .htaccess specifica quindi che l'autorizzazione è richiesta per accedere a /wp-login.php, e dove il server troverà le credenziali appropriate (cioè nel .htpasswd). Inoltre, proibisci l'accesso a .htaccess, .htpasswd e wp-config.php per assicurare che nessuno tranne te possa riconfigurare la tua installazione.
Tutto questo sembra piuttosto macchinoso? Lo è. Inoltre, può capitare che questa protezione aggiuntiva con password comprometta la compatibilità dei plugin. Ecco perché consiglio sempre l'autenticazione a due fattori. Questa si configura rapidamente tramite un plugin e offre una protezione ancora maggiore contro le intrusioni non autorizzate. Infatti i codici di autenticazione vengono trasmessi da un sistema esterno.
"*" indica i campi obbligatori
Conclusione: nascondere l'amministrazione di WP può essere molto faticoso e porta benefici piuttosto estetici.
L'ideale è proteggere l'area di amministrazione di WP nel modo più semplice possibile. Dovresti installare un plugin di sicurezza di grandi dimensioni solo se configuri e utilizzi anche le sue altre funzioni in modo sensato. Se ti interessa solo nascondere l'amministrazione di WP, ti consigliamo un plugin il più snello possibile, come WPS Hide Login. Qualsiasi altro plugin sarebbe eccessivo.
Come misura di sicurezza a sé stante, nascondere l'amministrazione di WP è comunque trascurabile. In linea di principio, vale anche quanto segue: nessun plugin sostituisce una password forte e la conoscenza delle principali vulnerabilità di sicurezza di WordPress. Inoltre, ogni nuovo plugin comporta il rischio di introdurre vulnerabilità di sicurezza nel codice. È quindi importante valutare esattamente quali e quanti plugin installare.
La protezione al cento per cento non esiste per nessun sito web. A nostro avviso, nascondere l'area wp-admin non aumenta realmente la sicurezza. Ma può contribuire enormemente alla sicurezza percepita. Soprattutto se lavori per conto di un cliente, non devi sottovalutare il potere della percezione del cliente. Tuttavia, non è assolutamente sufficiente come unica o principale misura di sicurezza. Tuttavia, se l'URL modificato è concepito come uno dei tanti livelli del tuo sistema di sicurezza, può essere un'utile aggiunta al tuo concetto di sicurezza.
