Nascondere WP Admin: Popolare, ingombrante e non particolarmente efficace

Tobias Schüring Ultimo aggiornamento 20.10.2020
9 Min.
wp admin nascondere
Ultimo aggiornamento 20.10.2020

Quasi tutti sanno come raggiungere la barriera di accesso all'area amministrativa su WordPress per impostazione predefinita. Poiché più del 34% di tutti i siti web funzionano con WordPress , è facile per gli hacker trovare e attaccare le aree di login di questi siti. Questo è esattamente il motivo per cui gli hack corrispondenti, come gli attacchi Brute Force , sono tra i più comuni attacchi più frequenti sui siti WordPress a tutti. Una semplice misura di protezione sembra essere il nascondere l'area amministrativa di WP. Oggi vi mostrerò quanto sia utile questa tecnica e come potete implementarla.

Brute Force Gli attacchi sono probabilmente il tipo più frequente di attacco ai siti WordPress . Il solo fornitore di sicurezza Wordfence ha misurato quasi 1 miliardo di questi attacchi nel 2017 in alcuni mesi di quest'anno - senza contare il numero di casi non segnalati. Al fine di limitare il rischio di sicurezza da attacchi Brute Force , ha senso in linea di principio limitare i tentativi di login dopo troppi tentativi falliti. Inoltre, molti webmaster di WordPress usano un altro metodo: spostano l'area di amministrazione di WP, in modo che non possa più essere trovata sotto il suffisso wp-admin.

Molti plugin di sicurezza offrono quindi una funzione corrispondente. Che può anche osare al file .htaccess. Ma nascondere l'area amministrativa di WP da sola non è una buona misura di sicurezza. Ma può essere un'aggiunta utile.

Nascondere WP Admin: Qual è il punto?

Dietro l'idea di nascondere l'area amministrativa di WP c'è il principio di sicurezza attraverso l'oscurità ("security through obscurity") - l'idea che la sicurezza di un sistema è più forte finché la sua funzionalità rimane segreta. O, in altre parole, se l'aggressore non sa dov'è la vostra porta d'ingresso, può aggirarsi intorno alla vostra casa, ma non può entrare.

Sicurezza attraverso l'oscurità: una tigre senza denti in pratica

Questo approccio è controverso tra gli esperti - e non senza ragione. In questo caso, il fatto che le informazioni siano sicure non significa che non siano più accessibili a tutti. È lì - ma è nascosto. Ma con gli strumenti giusti, gli hacker possono ancora trovare la tua pagina di login se vogliono.

E qui arriva il vero problema con sicurezza attraverso l'oscurità spesso usato per nascondere problemi che dovrebbero invece essere eliminati del tutto. Se il tuo nome admin è admin e la tua password è password123!L'hacker sarà nel vostro backend in pochissimo tempo una volta che avrà trovato la vostra pagina di login nascosta.

In breve, un'area amministrativa nascosta non impedisce agli aggressori di attaccare, aumenta solo il tempo necessario per eseguire l'attacco. Purtroppo, però, è impossibile nascondere completamente il fatto che i vostri progetti WordPress sono siti WordPress . Quindi nascondere l'amministrazione di WP non dovrebbe assolutamente essere la vostra unica misura di sicurezza. Chiunque vi prenda di mira non sarà in grado di scappare.

Il concetto sicurezza attraverso l'oscurità è quindi idealmente uno dei tanti strati del vostro concetto di sicurezza. Limitare i tentativi di accesso (LLA), una password forte che includa l'autenticazione a due fattori e - se alla fine ne usi una - una sicurezza configurata in modo pulitoPlugin sono un mix ragionevole. Nascondere l'area amministrativa è solo la ciliegina sulla torta.

In alcuni casi, nascondere l'admin di WP ha ancora senso

Ora ci sono effettivamente alcune situazioni in cui può avere perfettamente senso nascondere l'admin di WP:

  • Nascondere l'admin di WP ha un forte impatto sulla sicurezza percepita di un sito WordPress . Specialmente se stai lavorando per conto di un cliente, un WP-Admin nascosto ha senso per massimizzare il senso di sicurezza del tuo cliente.
  • Se gli hacker lanciano un attacco Brute Force sul tuo sito, il tuo server web può "surriscaldarsi" semplicemente a causa dell'alto numero di richieste. Se sposti l'area di amministrazione, almeno toglierai il vento dalle vele degli attacchi primitivi di Brute Force fin dall'inizio.
  • Puoi sorprendere positivamente alcuni clienti nascondendo l'area di amministrazione, ad esempio se la sposti sotto /nome-dell'azienda. In questo modo si può creare un piccolo ma piacevole effetto di branding.

Come potete vedere, queste misure sono di natura più cosmetica. Ma anche una maggiore sicurezza percepita può talvolta aiutare. Ecco perché ti mostrerò qui sotto come puoi proteggere il tuo admin WP con e senza Plugins .

UsatePlugins solo per nascondere gli amministratori, ha senso?

La grande sicurezzaPlugins offre anche la possibilità di nascondere l'area di amministrazione e l'esatta natura del tuo sito, tra numerose altre caratteristiche. Come ho detto prima, sono critico su questo: installare un ingombrante Plugin solo per cambiare un URL non risolverà tutti i vostri problemi in un colpo solo. Solo dopo un esame approfondito dell'argomento potete decidere quali misure di sicurezza hanno senso per il vostro progetto.

Quando si tratta di Plugins , tuttavia, avete fondamentalmente due opzioni:

  • Plugins sottile, progettato solo per nascondere l'area di accesso
  • Plugins, che includono il nascondere l'area di login, ma possono fare molto di più

La sicurezza completaPlugins è più ingombrante a causa della sua funzionalità estesa. Pertanto, hanno senso solo se si sa cosa si vuole ottenere con loro: ad esempio, bloccando IP specifici, utilizzando il Web Application Firewall (WAF) o beneficiando della segnalazione di Plugins . La domanda su quanto sia realmente utile la sicurezzaPlugins ha anche una risposta in questo articolo.

Installare un grande Plugin solo per nascondere l'area amministrativa è eccessivo. La tua velocità di caricamento ne soffre e hai poco valore aggiunto alla fine della giornata. E non è nemmeno un sostituto per trattare le caratteristiche di sicurezza.

Nascondere l'area di amministrazione con un Plugin è quindi consigliabile solo se si può usare senza grandi perdite di prestazioni o di funzionalità - come una sorta di bello da avere. Installare un grande Plugin come iThemes Security o Wordfence solo per questo, non lo raccomanderei.

Invece, ecco alcune alternative più eleganti per nascondere la vostra area di amministrazione:

WPS Nascondere l'accesso

wps nascondere login
Per esempio, l'amministrazione di WP può essere nascosta con il WPS Hide Login Plugin .

Questo Plugin gratuito fa esattamente uno cosa: cambia i due URL /wp-admin e /wp-login.php agli indirizzi che specifichi. Questo aggiunge un ostacolo per gli hacker e rende il tuo sito un po' più sicuro. Con oltre 400.000 installazioni attive e una valutazione media di 4,9 stelle (con oltre 1.100 recensioni!), Plugin si è dimostrato nella pratica.

Proteggi il tuo Admin

proteggi il tuo amministratore
Opzionalmente, questo funziona anche con Plugin Protect Your Admin.

Il Plugin è, nonostante alcune caratteristiche aggiuntive, uno dei più sottili sul mercato e permette di specificare un URL personalizzato per /wp-admin e /wp-login.php. Chiunque cerchi di accedere a queste due pagine, atterrerà invece sulla tua home page. 40.000 utenti hanno attualmente installato questo Plugin , e la valutazione media è di 3,8 stelle. Un aggiornamento a pagamento sblocca alcune caratteristiche aggiuntive come un contatore di tentativi di login.

Cerber Security, Antispam & Malware Scan

cerber security antispam malware scan
Cerber Security Plugin protegge anche l'amministratore di WP.

Tra le altre cose, questo Plugin nasconde /wp-login.php e mostra invece un messaggio di errore 404. Tuttavia, può fare molto di più - quindi vale la pena dare un'occhiata dettagliata allo strumento. La valutazione è attualmente di 4,9 stelle e ci sono circa 100.000 utenti attivi. Il sito Plugin è gratuito.

WP Hide & Security Enhancer

wp hide security enhancer
Un'altra alternativa è il leggermente più ingombrante Plugin WP Hide Security Enhancer.
 

Questo Plugin gratuito nasconde il fatto che il tuo sito web funziona con WordPress . Se questo abbia senso o meno in linea di principio resta da vedere (con uno strumento come BuiltWith, questo può essere rapidamente riportato alla luce), ma allo stesso tempo cambia gli URL /wp-admin e /wp-login.php in qualsiasi altro URL. Più di 50.000 webmaster usano attualmente Plugin , la valutazione media è di 4,3 stelle.

Non abbiate paura del cattivo codice: Sicuro con il .htaccess

Se vuoi nascondere il fatto che il tuo sito è un'installazione WordPress , puoi farlo tramite alcuni dei file Plugins che ho appena elencato. Oppure, puoi manomettere direttamente il file .htaccess. È uno dei file più importanti delle installazioni WordPress che girano su server Apache (nota: i siti RAIDBOXES non girano su server Apache, quindi il .htaccess non ha influenza sul server web). Il .htaccess definisce, per esempio, quali file e directory del tuo sito sono visibili e chi ha accesso a cosa.

Con piccoli cambiamenti in questo file, puoi dare al tuo sito web un ulteriore livello di sicurezza. In particolare, si aggiungono singoli frammenti di codice che limitano l'accesso a wp-config.php o bloccano certi IP. Vi consiglio di fare sempre un backup di questo file prima di fare qualsiasi modifica - se qualcosa va storto, potete poi tornare rapidamente e facilmente allo stato originale. E con .htaccess, anche un piccolo errore nel codice può essere sufficiente per paralizzare il tuo sito.

Variante 1: permettere solo alcuni IP

In linea di principio, qualsiasi directory può essere protetta con un .htaccess - in questo caso, si vuole proteggere specificamente l'area admin. Pertanto, si carica un nuovo .htaccess nella directory wp-admin. Se invece specificate nella directory principale di WordPress che solo certi IP hanno accesso, escludete tutti gli altri dal vostro intero sito invece che solo dall'area di amministrazione.

Nel .htaccess della directory di amministrazione avete ora la possibilità di bloccare IP specifici dall'accesso a questa directory. Se si utilizza un IP statico, si raccomanda di escludere tutti gli IP tranne il proprio. In questo modo solo tu avrai accesso all'area di amministrazione.

A proposito, puoi fare lo stesso per escludere gli IP dalla pagina wp-login.php. Gli IP non autorizzati possono, per esempio, essere reindirizzati a una pagina 404 (o un'altra pagina a vostra scelta) e non raggiungere più la schermata di accesso. Questo può essere fatto inserendo il codice appropriato.

  • Il codex diWordPress descrive come potete proteggere le singole directory della vostra installazione di WordPress .
  • I colleghi di WP-Beginner ti mostrano in dettaglio come proteggere il WP-Admin tramite .htaccess
  • Il creatore di plugin wpmudev mostra in una guida completa come è possibile utilizzare il .htaccess per proteggere i vostri siti

Variante 2: Configurare la protezione con password (o autenticazione a due fattori)

Un'altra possibilità molto usata per proteggere l'area di amministrazione con .htaccess è quella di creare un'autenticazione HTTP supplementare. Il server richiede già i dati di accesso corrispondenti anche solo per arrivare alla tua pagina di login WordPress .

Questo significa un po' più di sforzo per voi quando vi registrate, ma molti attaccanti gettano la spugna a questo punto. Brute Force Gli attacchi sono bloccati prima ancora che siano iniziati. Tuttavia, anche questa protezione non è completamente infallibile, poiché molti attacchi passano attraverso l'interfaccia XMLrpc. Gli hacker possono eseguire attacchBrute Force i DDoS e attraverso questa interfaccia, che è implementata di default. Gli attacchi sono simili a quelli sul sito wp-admin, ma qui centinaia di combinazioni di login e password possono essere richieste simultaneamente. Quindi, bisogna dire a questo punto che la protezione più sensata non è un login aggiuntivo, ma un'autenticazione a due fattori.

Tuttavia, al fine di implementare una protezione aggiuntiva della password, è necessario un altro file oltre al .htaccess, vale a dire il cosiddetto .htpasswd. Contiene i dati di accesso necessari per l'autenticazione. Per crearlo, è possibile utilizzare strumenti online appropriati. Essi criptano la vostra password desiderata (per esempio Günterdergroße86) secondo il formato MD5 (Günterdergroße86 si presenta così: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 è uno dei cinque formati di password con cui il server Apache può lavorare. Alla fine, comunque, devi solo ricordare la password non criptata - il server si occupa del resto automaticamente.

Il .htpasswd creato in questo modo è posto allo stesso livello del .htaccess, di solito il livello superiore della directory WordPress .

Nel .htaccess definisci ora che l'autenticazione HTTP deve avvenire quando si accede a wp-login.php e crei un collegamento al .htpasswd tramite uno snippet di codice. In questo modo il server può accedere alle credenziali precedentemente specificate nell'altro file. Come funziona è spiegato qui, per esempio.

Il .htaccess specifica quindi che l'autorizzazione è richiesta per accedere a /wp-login.php, e dove il server troverà le credenziali appropriate (cioè nel .htpasswd). Inoltre, proibisci l'accesso a .htaccess, .htpasswd e wp-config.php per assicurare che nessuno tranne te possa riconfigurare la tua installazione.

Non sembra tutto piuttosto ingombrante? Lo è. Inoltre, questa protezione aggiuntiva con password può compromettere la compatibilità di Plugins . Ecco perché raccomando sempre l'autenticazione a due fattori. Questo viene impostato rapidamente tramite Plugin e fornisce anche una protezione ancora maggiore contro le intrusioni non autorizzate. Questo perché i codici di autenticazione sono trasmessi tramite un sistema esterno.

Conclusione: nascondere il WP-Admin può essere un sacco di lavoro - e porta un beneficio piuttosto cosmetico

Idealmente, proteggi la tua area amministrativa di WP nel modo più snello possibile. Si dovrebbe installare un grande plugin di sicurezza solo se si configurano e si utilizzano anche le sue altre funzioni in modo ragionevole. Quindi, se sei preoccupato solo di nascondere l'admin di WP, il nostro consiglio è di andare il più snello possibile Plugin. Qualsiasi altra cosa sarebbe eccessiva.

Come misura di sicurezza propria, nascondere l'amministratore di WP è comunque trascurabilmente efficace. In linea di principio, vale anche quanto segue: nessun Plugin sostituisce una password forte e la conoscenza delle più importanti vulnerabilità di sicurezza WordPress . E ogni nuovo Plugin comporta il rischio di portare vulnerabilità di sicurezza nel codice. È quindi importante considerare attentamente quali e quanti ne installate.

La protezione al 100% non esiste per nessun sito web. Secondo noi, nascondere l'area wp-admin non aumenta realmente la sicurezza. Ma può contribuire enormemente alla sicurezza percepita. Specialmente se stai lavorando per conto di un cliente, non dovresti sottovalutare il potere della percezione del cliente. Tuttavia, non è assolutamente sufficiente come unica o centrale misura di sicurezza. Tuttavia, se l'URL modificato è progettato come uno dei molti livelli del vostro sistema di sicurezza, può essere un'utile aggiunta al vostro concetto di sicurezza.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.