Normalmente per accedere come utente ad un blog WordPress basta andare alla pagina di login che si trova:
http://www.nome-blog.it/wp-login.phphttp://www.nome-blog.it/wp-admin/
Cosa fanno gli hacker per cercare di entrare nel tuo blog (e farti disperare)? Beh, inizialmente la cosa più semplice.
Vanno nella pagina di login e provano continuamente ad inserire un nome utente e password (ecco perchè è bene cambiare il nome utente Admin).
Oltre che limitare il numero di tentativi di connessione, si può fare una cosa semplicissima: cambiare l’URL della pagina di login. In questo modo, l’hacker non saprà dove andare a trovarla e desisterà più facilmente (si spera).
Per farlo, puoi usare il buon plugin Better WP Security (che svolge un sacco di altre funzioni interessanti per la sicurezza di WP).
Cambiare URL con Better WP Security
Dopo aver installato ed attivato il plugin, esegui un backup del database (ti viene anche proposto dal plugin stesso).
Poi vai su Security > Hide Backend >
Prima di tutto clicca sulla casella Enable Hide Backend per attivare il cambio dell’URL di login.
Poi modifica i campi Login Slug, Register Slug e Admin Slug per modificare l’URL della pagina di login e di registrazione per i nuovi utenti. Puoi lasciare quelli predefiniti, oppure cambiarli a tuo piacimento (consigliato).
Ah, ricordati almeno quello dell’amministratore.
Infine clicca sul pulsante Save Changes per salvare le modifiche.
Tutto qui? Praticamente sì.
Ora disconnettiti facendo un Logout (in alto a destra dove c’è l’immagine del tuo utente) e prova ad andare al vecchio indirizzo http://www.nome-blog.it/wp-admin/.
Ti dovrebbe comparire la pagina 404 (pagina non trovata).
Ora vai al nuovo indirizzo di login/amministrazione (te lo ricordi vero?) ed accedi normalmente…
Ora il tuo blog è un po’ più al sicuro.
Ovviamente dovrai fornire il nuovo indirizzo di login a tutti i tuoi utenti (se esistono), altrimenti anche loro vedranno comparire sempre e solo la pagina 404.
Problemi vari
Ho riscontrato l’errore “Devi farti autorizzare per accedere a questa pagina.” su qualsiasi pagina del plugin appena dopo l’installazione. È bastato svuotare la cache del plugin W3 Total Cache ed effettuare il Logout e Login perchè tornasse tutto normale.
Se ti si dovesse bloccare tutto, puoi accedere via FTP al blog ed eliminare la cartella wp-content/plugins/better-wp-security/… in questo modo elimini il plugin e dovrebbe tornare tutto a come era prima (ma non l’ho testato personalmente).
Altro problema con il permalink: page not found. In poche parole, seguendo questo ticket, ho:
- disattivato il plugin
- impostato il permalink predefinito
- attivato il plugin
- impostato la struttura del permalink che avevo prima
