Vuoi limitare l'accesso tramite indirizzo IP al tuo file wp-login.php in WordPress?
La pagina di accesso di WordPress è spesso oggetto di attacchi DDoS e hacker per ottenere l'accesso al tuo sito web. Limitare l'accesso a specifici indirizzi IP può bloccare efficacemente tali tentativi.
In questo articolo, ti mostreremo come limitare facilmente l'accesso tramite IP al tuo file wp-login.php in WordPress.
Perché limitare l'accesso a wp-login.php per indirizzo IP?
La pagina di accesso di un sito web WordPress (tipicamente, wp-login.php), è dove gli utenti accedono al tuo sito.
Come proprietario di un sito web, ti dà accesso all'area di amministrazione di WordPress dove puoi eseguire la manutenzione del sito, scrivere contenuti e gestire il tuo sito web.
Tuttavia, i comuni attacchi brute force su Internet sono noti per prendere di mira la pagina wp-login.php per ottenere l'accesso ai siti web. Anche se non riescono ad entrare, potrebbero comunque rallentare il tuo sito web o addirittura farlo crashare.
Un modo per affrontare questa situazione è bloccare gli indirizzi IP da cui provengono gli attacchi (ne parleremo più avanti nell'articolo).
Un indirizzo IP è come un numero di telefono che identifica un computer specifico su Internet. Gli hacker possono utilizzare software per cambiare i loro indirizzi IP.
Tuttavia, attacchi più sofisticati utilizzano un pool più ampio di indirizzi IP e potrebbe non essere possibile bloccarli tutti.
In tal caso, è possibile limitare l'accesso a specifici indirizzi IP utilizzati da te e da altri utenti sul tuo sito web.
Detto questo, diamo un'occhiata a come limitare facilmente l'accesso al file wp-login.php tramite specifici indirizzi IP utilizzando 3 metodi diversi, incluso un firewall di sicurezza cloud.
1. Limita l'accesso alla pagina di accesso di WordPress per indirizzo IP
Per questo metodo, dovrai aggiungere del codice al file .htaccess.
Il file .htaccess è un file di configurazione speciale del server che si trova nella cartella principale del tuo sito web e a cui è possibile accedere tramite FTP o l'app File Manager sul pannello di controllo del tuo hosting WordPress.
Connettiti semplicemente al tuo sito WordPress utilizzando un client FTP e modifica il tuo file .htaccess aggiungendo il seguente codice in cima.
<Files wp-login.php>
order deny,allow
Deny from all
# whitelist Your own IP address
allow from xx.xxx.xx.xx
#whitelist some other user's IP Address
allow from xx.xxx.xx.xx
</Files>
Non dimenticare di sostituire le XX con i tuoi indirizzi IP. Puoi trovare facilmente il tuo indirizzo IP visitando la pagina SupportAlly.
Se hai altri utenti che devono accedere al tuo sito web, chiedi loro di fornire i loro indirizzi IP. Puoi quindi aggiungerli anche al file .htaccess.
Ecco un altro esempio del codice sopra menzionato.
<Files wp-login.php>
order deny,allow
Deny from all
# Whitelist John as website administrator
allow from 35.199.128.0
#Whitelist Tina as Editor
allow from 108.59.80.0
# Whitelist Ali as moderator
allow from 216.239.32.0
</Files>
Ora, gli utenti con questi indirizzi IP saranno in grado di visualizzare il file wp-login.php ed effettuare l'accesso al tuo sito web. Altri utenti vedranno il seguente messaggio di errore:
2. Blocca indirizzi IP specifici dall'accesso al tuo sito web
Questo metodo è l'esatto opposto del primo metodo.
Invece di limitare l'accesso alla pagina di accesso di WordPress a specifici indirizzi IP, sarai in grado di bloccare gli indirizzi IP utilizzati per attaccare il tuo sito web.
Questo metodo è particolarmente utile per siti web di membership WordPress, negozi eCommerce o altri siti web in cui più utenti devono accedere per entrare nei propri account.
Lo svantaggio di questo metodo è che gli hacker possono cambiare i loro indirizzi IP e continuare ad attaccare il tuo sito web.
Fortunatamente, molti dei tentativi di hacking comuni di WordPress utilizzano un set fisso di indirizzi IP, il che rende questo metodo efficace nella maggior parte dei casi.
Passaggio 1: Trovare gli indirizzi IP offensivi che si desidera bloccare
Innanzitutto, devi trovare gli indirizzi IP utilizzati per attaccare il tuo sito web.
Il modo più semplice per trovare gli indirizzi IP offensivi è esaminare i log del tuo server. Accedi semplicemente al pannello di controllo del tuo account di hosting e fai clic sull'icona dei log 'Accessi grezzi'.
Nella pagina successiva, fai clic sul tuo nome di dominio per scaricare i log di accesso. Questo scaricherà un file con estensione gz.
Dovrai estrarre il file e aprirlo con un editor di testo come Blocco note o TextEdit.
Da qui troverai gli indirizzi IP che stanno colpendo ripetutamente la pagina wp-login.php.
Copia e incolla gli indirizzi IP in un file di testo separato sul tuo computer.
Passaggio 2. Blocco degli indirizzi IP sospetti
Successivamente, devi accedere al pannello di controllo del tuo hosting WordPress e fare clic sull'icona 'Blocco IP'.
Nella schermata successiva, copia e incolla semplicemente gli indirizzi IP che desideri bloccare e fai clic sul pulsante 'Aggiungi'.
Ripeti il processo per bloccare qualsiasi altro indirizzo IP sospetto che desideri.
Tutto qui! Hai bloccato con successo gli indirizzi IP sospetti dall'accedere completamente al tuo sito web.
Successivamente, se avrai bisogno di sbloccare uno di questi indirizzi IP, potrai farlo semplicemente dall'app di blocco IP.
3. Protezione dell'accesso a WordPress con il firewall del sito web
In qualità di amministratore del sito web, potresti non voler dedicare troppo tempo alla gestione degli indirizzi IP che possono accedere alla tua pagina di accesso a WordPress.
Il modo più semplice per proteggere le tue pagine di accesso a WordPress è utilizzare Sucuri. È il miglior firewall per WordPress che accompagna un plugin di sicurezza per WordPress completo.
Il firewall del sito web di Sucuri filtra automaticamente gli indirizzi IP sospetti dall'accesso ai file core importanti di WordPress senza che questi raggiungano mai il tuo sito web.
Questo metodo migliora anche le prestazioni e la velocità di WordPress poiché blocca le attività sospette dal rallentare il tuo server.
Inoltre, Sucuri viene fornito anche con una rete CDN integrata. Servirebbe automaticamente file statici come immagini, fogli di stile e JavaScript da un server più vicino ai tuoi utenti.
Puoi facilmente aggiungere alla whitelist gli indirizzi IP degli utenti se non riescono ad accedere alle pagine di accesso di WordPress.
Alternative: MalCare o Cloudflare Free CDN
Speriamo che questo articolo ti abbia aiutato a imparare come limitare l'accesso tramite indirizzo IP al tuo file wp-login.php. Potresti anche voler consultare la nostra guida completa alla sicurezza di WordPress o vedere questi suggerimenti aggiuntivi per proteggere l'area di amministrazione di WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Olaf
Tutto in WordPress sale e scende sulla sicurezza del sito web. Sottovalutarla può portare a seri problemi nel tempo. Queste direttive funzionano perfettamente e implementare questo tipo di sicurezza richiede solo un momento. Apprezzo che tu sia meticoloso, non solo aggiungendo le direttive corrette a .htaccess, ma anche insegnando agli utenti fin dall'inizio a commentare correttamente le voci aggiunte manualmente. Questo aiuta chiunque erediti il sito a comprendere queste direttive. Pochi tutorial sono così meticolosi, prendendosi il tempo per garantire un commento corretto in .htaccess.
Jiří Vaněk
Ho copiato le direttive sul sito web, ho modificato gli indirizzi IP e li ho inseriti nel file .htaccess. Funziona perfettamente per entrambi gli indirizzi IP ora impostati in .htaccess.
Av
in merito a un sito woocommerce, questa funzione è utile?
il login può essere effettuato dalla pagina il mio account.
Supporto WPBeginner
Se hai più utenti che accedono al tuo sito per qualcosa come WooCommerce, allora questo non sarebbe qualcosa che useresti. Questo sarebbe normalmente per un sito con un numero limitato di utenti.
Amministratore
Michael Pepper
Grazie per l'articolo, utile!
Supporto WPBeginner
Glad our article was helpful
Amministratore
Mick
Per qualche motivo, quando uso questo, anche l'IP nella whitelist viene bloccato.
Hai idea del perché?
Supporto WPBeginner
Potresti voler assicurarti di aver impostato l'IP corretto e se stai usando una VPN o qualcosa di simile, quella potrebbe essere la causa del problema.
Amministratore
Bahar Ali
Ho usato il codice sopra e in qualche modo si applica a ogni pagina del sito, ad esempio la mia home mostra anche "proibito".
Supporto WPBeginner
Potresti prima verificare con il tuo provider di hosting per assicurarti che non ci sia una configurazione in conflitto da parte loro.
Amministratore
Unni Krishnan
Ottimo ragazzi,
Come avete affermato nell'ultima sezione, ho IP dinamici per la mia connessione mobile. Sebbene abbia inserito il mio IP a banda larga nella lista bianca, rimango bloccato mentre accedo in movimento.
Sapete se ci sono plugin che aiutano a risolvere questo problema?
Unni Krishnan
Inoltre, tali richieste a wp-login.php vengono reindirizzate alla homepage. È normale?
FrancescoElzy
Hmm, sembra che il tuo blog abbia mangiato il mio primo commento (era lunghissimo), quindi immagino che riassumerò quello che ho scritto e dirò che mi sto godendo appieno il tuo blog. Anch'io sono un aspirante blogger, ma sono ancora nuovo in tutto questo. Hai qualche consiglio utile per i nuovi scrittori di blog? Lo apprezzerei sinceramente.
Stéfano Willig
Abbiamo reso il nostro ftp accessibile solo da determinati IP.
Ora non posso installare o aggiornare WordPress direttamente tramite WordPress...
Cosa posso fare?
Jobbatam
Ottimi consigli e funziona per me.
Ma, posso reindirizzare wp-login a errore 404?
Se sì, quale codice devo aggiungere al codice sopra?
grazie
MargaretMacnamar
È molto semplice scoprire qualsiasi argomento su internet rispetto ai libri di testo, dato che ho trovato questo post su questo sito.
EQHRaymond
Grazie per la funzione. Il post mi ha aiutato molto
Rex Wickham
Se vuoi aggiungere più di un IP puoi farlo:
1. puoi usare un IP parziale:
Consenti da 145.50.39
Questo consentirà IP da 145.50.39.0 a 145.50.39.255
2. puoi usare una netmask o un CIDR:
Consenti da 145.50.39.0/255.255.255.224
o
Consenti da 145.50.39.0/27
Questo consentirà IP da 145.50.39.0 a 145.50.39.31.
Julius Musembi
Questo è un ottimo workaround.
David Swanson
Ho aggiunto il codice al mio .htaccess ma quando i miei utenti effettuano il logout ricevono l'errore 403.
Quando cliccano su logout il link è /wp-login.php?action=logout
C'è un modo per risolvere questo problema?
Brijesh
Ottimo consiglio! Ma ho un problema. Blocca il login dell'amministratore da altri IP, ma se un utente registrato si disconnette dal sito, anche il codice lo restringe. Voglio dire, quando l'utente clicca su disconnetti, appare il messaggio di divieto. Come risolverlo?
Rafaqat
Grazie per la tua rapida guida per proteggersi da tentativi di accesso eccessivi e illegali. In realtà esiste un plugin gratuito "better wp security" che può gestire quasi tutti i problemi di sicurezza relativi a tentativi di accesso, file wp.config, file .htaccess e molti altri. Penso che si dovrebbe provare.
Kris
Per aggirare il problema dell'IP dinamico puoi fare riferimento a un htpasswd.
Baptiste Legrand
Grazie per questo ottimo consiglio! Ma sono un po' confuso: dovrei incollare questo snippet nel mio file .htacess principale o nel mio file .htaccess di wordpress?
Saluti (e tra l'altro, AMO wpbegginer.com, continuate così!)
Staff editoriale
Incollalo nel tuo wordpress/.htaccess
Amministratore
Staff editoriale
Con IP dinamici questo può essere un problema. Puoi impostare Apache Protect, ma è un po' più complesso. La riga #whitelist serve solo a farmi sapere quale IP è quale.
Amministratore
Steve Pringle
Dovresti menzionare che i plugin (come JetPack) potrebbero avere problemi quando limiti l'accesso.