I proprietari di siti web devono dare priorità alla sicurezza di WordPress per proteggere i propri dati sensibili e mantenere la fiducia dei propri utenti. Un modo molto efficace per farlo noi di WPBeginner è proteggere con password la nostra directory di amministrazione di WordPress.
La directory wp-admin è il centro di controllo del tuo sito WordPress. È dove gestisci tutto, dal contenuto alle impostazioni, rendendola un obiettivo primario per gli hacker. Proteggere con password i tuoi file di amministrazione li manterrà al sicuro dagli attacchi.
Questo articolo fornisce una guida semplice per proteggere facilmente con password la tua directory wp-admin e rafforzare la sicurezza del tuo sito web.
Perché proteggere con password la tua directory di amministrazione di WordPress?
Proteggendo con password la tua directory di amministrazione di WordPress, aggiungi un ulteriore livello di sicurezza al punto di ingresso più importante del tuo sito web WordPress.
La tua bacheca di amministrazione di WordPress è il fulcro del tuo sito. È dove pubblicherai articoli e pagine, personalizzerai il tuo tema, installerai plugin WordPress e altro ancora.
Often, when hackers try to get into your website, they’ll do it through the wp-admin screen using a brute force attack.
You can help protect your website against potential attacks by using security measures such as a strong password and limiting login attempts.
To be even more secure, you can also password-protect the wp-admin directory. Then, when someone attempts to access your admin area, they’ll need to enter a username and password before they ever make it to the WordPress login page.
With that said, let’s take a look at how you can password-protect your WordPress admin directory step by step.
The first method is recommended for most users, and you can use the quick links below to jump straight to the method you want to use:
- Password-Protect wp-admin Using Directory Privacy (Recommended)
- Password-Protect wp-admin Using Code
- Troubleshooting wp-admin Password Protection
- Bonus: Best WordPress Guides for wp-admin Security
Tutorial video
Se preferisci istruzioni scritte, continua a leggere.
Method 1: Password-Protect wp-admin Using Directory Privacy (Recommended)
The easiest way to password-protect your WordPress admin directory is by using your WordPress hosting provider’s Directory Privacy app.
Innanzitutto, devi accedere alla dashboard del tuo account di hosting e fare clic sull'opzione ‘Directory Privacy’ nella sezione File della dashboard cPanel del tuo sito web.
Nota: La maggior parte degli host web che utilizzano cPanel, come Bluehost, avranno passaggi simili. Tuttavia, la tua dashboard potrebbe essere leggermente diversa dai nostri screenshot, a seconda del tuo provider di hosting.
Questo ti porterà a una schermata che elenca tutte le diverse directory sul tuo server. Devi trovare la cartella che contiene i file del tuo sito web.
Per la maggior parte dei proprietari di siti web, questo si trova facendo clic sulla cartella ‘public_html’.
Questo visualizzerà tutti i file del sito web che hai installato sul tuo server.
Successivamente, dovrai fare clic sulla cartella con il nome di dominio del tuo sito web.
In quella cartella, vedrai una cartella wp-admin.
Invece di fare clic sul nome della cartella, dovrai fare clic sul pulsante ‘Modifica’ accanto a quella cartella.
Questo ti porta a una schermata in cui puoi attivare la protezione con password.
Basta selezionare la casella che dice ‘Proteggi questa directory con password’. Se lo desideri, puoi anche dare alla tua directory un nome come ‘Area Amministrativa’ per aiutarti a ricordarla.
Una volta fatto ciò, dovrai fare clic sul pulsante 'Salva'.
Questo ti porterà a una pagina in cui apparirà il messaggio di conferma.
Ora dovrai fare clic sul pulsante 'Torna indietro' e verrai portato a una schermata in cui potrai creare un utente che potrà accedere a questa directory.
Ti verrà chiesto di inserire un nome utente e una password, quindi di confermare la password. Assicurati di annotare il tuo nome utente e la tua password in un luogo sicuro, come un' app per la gestione delle password.
Assicurati di fare clic sul pulsante ‘Salva’ quando hai finito.
Ora, quando qualcuno tenterà di accedere alla tua directory wp-admin, gli verrà richiesto di inserire il nome utente e la password che hai creato in precedenza.
Metodo 2: Proteggi con password wp-admin usando il codice
Puoi anche proteggere con password la tua directory di amministrazione di WordPress manualmente. Per fare ciò, dovrai creare due file chiamati .htpasswd e .htaccess.
Nota: Aggiungere codice al tuo sito WordPress può essere pericoloso. Anche un piccolo errore può causare gravi problemi al tuo sito web. Consigliamo questo metodo solo per utenti avanzati.
Creazione del file .htaccess
Per prima cosa, apri il tuo editor di testo preferito e nomina il nuovo file .htaccess.
Successivamente, devi copiare il seguente snippet di codice e aggiungerlo al file:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Assicurati di modificare il percorso di 'AuthUserFile' con la posizione in cui caricherai il file .htpasswd e cambia 'yourusername' con il nome utente che desideri utilizzare per accedere.
Non dimenticare di salvare il file quando hai finito.
Creazione del file .htpasswd
Una volta fatto ciò, è necessario creare un file .htpasswd.
Per fare ciò, apri un editor di testo e crea un file chiamato .htpasswd. Questo file elencherà il tuo nome utente insieme alla tua password in formato crittografato.
Il modo più semplice per generare la password crittografata è con un generatore htpasswd.
Inserisci semplicemente il tuo nome utente e password, seleziona il formato di crittografia e fai clic sul pulsante 'Crea file .htpasswd'.
Il generatore htpasswd visualizzerà una riga di testo che dovrai incollare nel tuo file .htpasswd. Assicurati di salvare il file una volta fatto ciò.
Caricare .htaccess e .htpasswd nella directory wp-admin
L'ultimo passaggio consiste nel caricare entrambi i file creati nella cartella wp-admin del tuo sito web.
Dovrai connetterti al tuo account di hosting WordPress utilizzando un client FTP o lo strumento di gestione file online fornito dal tuo provider di hosting. Per maggiori dettagli, consulta la nostra guida per principianti su come utilizzare FTP per caricare file su WordPress.
Per questo tutorial, utilizzeremo FileZilla perché è gratuito e funziona sia su Mac che su Windows.
Una volta connesso al tuo sito web, vedrai i file sul tuo computer nella finestra di sinistra e i file sul tuo sito web sulla destra. A sinistra, dovrai navigare nella posizione in cui hai salvato i file .htaccess e .htpasswd.
Quindi, sulla destra, è necessario accedere alla directory wp-admin del sito web che si desidera proteggere. La maggior parte degli utenti dovrà fare doppio clic sulla cartella public_html, quindi sulla cartella con il nome del proprio dominio, quindi sulla cartella wp-admin.
Ora, puoi selezionare i due file a sinistra e fare clic su 'Carica' dal menu contestuale o semplicemente trascinare i file nella finestra di sinistra.
Ora, la tua directory 'wp-admin' sarà protetta da password.
Troubleshooting wp-admin Password Protection
A seconda di come sono configurati il tuo server e il tuo sito web, c'è la possibilità che tu possa incontrare errori di WordPress. Questi errori possono essere risolti aggiungendo attentamente codice al tuo file .htaccess.
Nota: Questo è il file .htaccess situato nella cartella principale del tuo sito web, non quello che hai caricato nella cartella ‘wp-admin’. Se hai difficoltà a trovarlo, consulta la nostra guida su perché non riesci a trovare .htaccess e come individuarlo.
Risoluzione dell'errore Ajax non funzionante
Uno degli errori più comuni è che la funzionalità Ajax potrebbe smettere di funzionare sul front-end del tuo sito. Se hai plugin WordPress che richiedono Ajax, come la ricerca Ajax live o moduli di contatto Ajax, noterai che questi plugin non funzioneranno più.
Per risolvere questo problema, aggiungi semplicemente il seguente codice al file .htaccess che si trova nella tua cartella wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Risoluzione dell'errore 404 e dell'errore Troppi reindirizzamenti
Altri due errori che potresti incontrare sono l'errore 404 e l'errore di troppi reindirizzamenti.
Il modo più semplice per risolverli è aprire il tuo file .htaccess principale situato nella directory del tuo sito web e aggiungere la seguente riga di codice prima delle regole di WordPress:
ErrorDocument 401 default
Bonus: Best WordPress Guides for wp-admin Security
Speriamo che questo articolo ti abbia aiutato a imparare come proteggere con password la tua directory di amministrazione di WordPress (wp-admin). Potresti voler consultare ulteriori guide per rendere la tua area di amministrazione più sicura:
- Come Limitare l'Accesso all'Area Amministrativa di WordPress per Indirizzo IP
- Suggerimenti vitali per proteggere la tua area di amministrazione di WordPress (aggiornato)
- Come aggiungere un URL di accesso personalizzato in WordPress (passo dopo passo)
- Come e perché limitare i tentativi di accesso in WordPress
- Come aggiungere l'autenticazione a due fattori in WordPress (metodo gratuito)
- Come aggiungere domande di sicurezza alla schermata di accesso di WordPress
- Come forzare gli utenti a cambiare password in WordPress – Scadenza password
- Come reimpostare le password per tutti gli utenti in WordPress
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Rauf
Signore, quando faccio il login, il pulsante popup appare di nuovo e di nuovo chiedendo di inserire nome utente e password
demonkoryu
Modifica: Vedo che il tuo problema non riguarda i commenti di Disqus (facepalm), ma potrebbe comunque essere applicabile nel tuo caso.
È successo anche a me.
a) Cancella tutti i cookie (per Disqus e per il sito in cui stai cercando di usarlo)
b) Prova un browser diverso da quello che stai usando attualmente
Thomas
Questo non funziona per me in WordPress 3.9.1. Ottengo un errore 500 (server interno) per qualsiasi pagina di amministrazione, e la pagina wp-login.php si carica ma non viene visualizzata correttamente.
Ho aggiunto il codice per l'errore 404 al file .htaccess principale e ho aggiunto il codice ajax al file .htaccess di wp-admin/. Nessun cambiamento.
Cosa potrebbe causare questo? Il mio server o l'installazione di WordPress sono configurati male in qualche modo?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
David
Grazie! –
ha risolto il mio problema di loop di reindirizzamento con ErrorDocument 401 default
Ospite
Ho aggiunto il codice admin-ajax al mio file .htaccess di /wp-admin, ma ciò non ha risolto il problema. Il plugin All-In-One-Event-Calendar non è ancora in grado di accedere ad admin-ajax sul frontend.
Si prega di consigliare.
Grazie!
bamajr
L'aggiunta dell'autenticazione a due fattori al processo di login dell'amministrazione di WordPress non risolverebbe questo problema? Ad esempio, usando Authy (e il loro plugin associato)?
Supporto WPBeginner
Sì, ma uno strato aggiuntivo rafforza ulteriormente la sicurezza.
Amministratore
Chris Christoff
Ciao ragazzi,
Nota rapida, admin-ajax.php non è l'unica cosa a cui i plugin devono accedere. Devi anche consentire l'accesso non protetto da password a async-upload.php e media-upload.php
Questi vengono utilizzati dai plugin per consentire il caricamento di file sul frontend (come il caricamento di un file durante un checkout).
-Chris
bikramjit singh
Ciao... sono nuovo di WordPress e un visitatore abituale qui. Sto riscontrando un problema. Quando provo ad accedere al mio pannello WordPress, il pannello per inserire nome utente e password non compare. Il sito si apre da solo. Il mio dominio è http://www.tradethetechnicals.com.How posso risolvere questo problema?
Supporto WPBeginner
Puoi visitare la tua pagina di accesso qui: http://tradethetechnicals.com/wp-admin
Amministratore
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
Kushal Jayswal
Ciao, sono confuso!
Se blocco la directory wp-admin, gli autori registrati possono accedere a “http://site.com/wp-admin” nel browser? Oppure hanno anche bisogno di nome utente e password?
Vedi sul mio blog chiunque può accedere direttamente con Facebook, quindi in tal caso se password e nome utente sono obbligatori per tutti gli utenti. Sarà un po' complesso da gestire...
Qualche commento?
Supporto WPBeginner
i tuoi autori registrati avranno bisogno della password per accedere all'area WP Admin.
Amministratore
Phil Alcock
Grazie per la correzione ajax. Ho aggiunto quelle poche righe e ha risolto il mio problema con un plugin. Molto più facile del suggerimento nel Wordpress Codex.
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
ciao,
uso questo metodo di password,
aiuto per favore, perché questa finestra popup non si apre in UCBrowser !!
quindi dimmi, posso creare una pagina, una pagina html o qualsiasi tipo di pagina per il login?? non voglio mostrare popup, voglio mostrare un login in pagina, e le altre funzioni uguali
Supporto WPBeginner
Puoi creare una pagina di accesso personalizzata per WordPress.
Amministratore
Chathu
Se seguo il metodo cpanel, c'è un modo per rimuovere la password?
Grazie!
Masood
Grazie per aver condiviso, molto utile
Arthur
Wow! finalmente! Il "ErrorDocument 401 default" ha fatto il trucco. Stavo perdendo la pazienza con il problema del reindirizzamento....
Grazie mille per aver condiviso questo.
James
Sembra funzionare alla grande tranne che chiede l'autenticazione sulla nostra home page, non solo quando si accede a wp-admin. È possibile che un altro plugin stia chiamando un file diverso da admin-ajax.php?
Staff editoriale
Sì, è molto possibile che un altro plugin stia chiamando admin-ajax.php. Dovresti usare la correzione menzionata sopra.
Amministratore
Jeffro
Volevo solo farti sapere che quando sono andato a gestire i miei abbonamenti qui sul sito tramite link via email, ho ricevuto la richiesta di nome utente e password. Cliccando su Annulla mi ha permesso di gestire i miei abbonamenti. Dopo aver selezionato un'opzione e cliccato su Salva, ho ricevuto di nuovo la richiesta, che cliccando su Annulla ha comunque permesso di eseguire l'azione. Vi sto solo informando nel caso in cui non voleste che ciò accadesse ad altre persone.
Muhammad Ahsan
Devo copiare la riga "ErrorDocument 401 default" nel file .htaccess nella directory /wp-admin/.htaccess? O in un altro file .htaccess?
Staff editoriale
Dovresti incollare questo nel file .htaccess principale.
Amministratore
pankaj
Ciao,
Come mi hai detto ho fatto ma quando apro la directory wp-admin ottengo un errore come "La pagina non viene reindirizzata correttamente".
Firefox ha rilevato che il server sta reindirizzando la richiesta per questo indirizzo in un modo che non terminerà mai.
Questo problema può essere talvolta causato dalla disabilitazione o dal rifiuto di accettare
i cookie".
Anche in Google Chrome non appare alcun popup. Puoi dirmi come risolvere questo problema?
Grazie in anticipo.
Staff editoriale
Devi leggere la sezione dell'articolo che dice: Errore di troppi reindirizzamenti
Amministratore
Ed Emery
Ciao,
Questo problema si verifica da quando ho installato WP la settimana scorsa. Ho seguito passo dopo passo la guida Come proteggere con password la directory di amministrazione di WordPress (wp-admin), ma lo stesso problema! Ecco uno screenshot di cosa/chi/hacker sta succedendo.
Prima questo:
Il server sacramentofan.com presso WPBeginner Admins Only richiede un nome utente e una password.
Attenzione: questo server richiede che il tuo nome utente e password vengano inviati in modo insicuro (autenticazione di base senza una connessione sicura).
Poi questo dopo aver tentato di accedere:
Il server sacramentofan.com in Protezione attacchi WordPress CAPTCHA. Inserisci nome utente: e7en4d Password: Il risultato di 16+4 richiede un nome utente e una password.
Attenzione: questo server richiede che il tuo nome utente e password vengano inviati in modo insicuro (autenticazione di base senza una connessione sicura).
Quindi, come posso risolvere questo problema dato che ho provato di tutto da giovedì scorso 18/07/2013?
Grazie,
Ed
Staff editoriale
Problema troppo complesso da spiegare solo sentendolo. Bisognerebbe davvero vedere cosa sta succedendo. Sembra che un plugin stia causando questo problema.
Amministratore
David McMahon
Molte grazie per questo utile suggerimento – mi stavo chiedendo perché continuassi a ricevere il temuto messaggio "la richiesta non verrà mai completata" da Firefox, ma ora non più!
Akash Deep Satpathi
Ciao! Ho seguito il tuo tutorial con cPanel ma dopo non sono riuscito a visualizzare la mia Dashboard. Diceva "Questa pagina web ha un loop di reindirizzamento" su Google Chrome. Quindi, cosa mi manca?
Staff editoriale
Leggi la sezione che spiega l'errore 404 o il problema di troppi reindirizzamenti.
Amministratore
Meher
Ciao,
Grazie mille per il tuo articolo.
Stavo cercando di aggiungere un ulteriore livello di accesso alla cartella wp-admin e venivo reindirizzato all'errore - Troppi reindirizzamenti -.
Ho cercato molto su Google e mi sono imbattuto nel tuo articolo. Questo mi ha davvero aiutato a risolvere questo problema.
Grazie ancora.
Dan
Stesso problema qui.
arman
funziona bene
ma c'è un problema.
quando gli utenti normali accedono e vogliono andare alla dashboard e cambiare alcune informazioni come il profilo immagine, devono anche rispondere a questa password utente!!
c'è qualche possibilità di impostare questa cartella protetta solo per l'amministratore o ignorarla per la dashboard degli utenti normali?
Staff editoriale
No. Dovresti farlo per tutti gli utenti.
Amministratore
ARMAN
Quindi, se lo uso per tutti gli utenti, significa che tutti gli utenti devono avere il mio nome utente e password per la cartella protetta!!
quindi chiunque può registrarsi e chiunque deve avere questo nome utente, password, quindi qualsiasi hacker può registrarsi come utente sul mio sito e ottenere questo nome utente e password!!
Quindi proteggere Wp-admin è utile solo per siti con un solo amministratore o con alcuni utenti speciali per condividere questa password utente…
Staff editoriale
Puoi creare più utenti in .htpswd. Dovresti usare quello che viene chiamato un gruppo.
fox
ooohhh uomini grazie per il tuo aiuto :
ErrorDocument 401 default
funziona perfettamente!!!!!
Nishant
Grazie per i suggerimenti. Ho implementato la protezione tramite password della directory Wp-Admin e ho anche aggiunto l'autenticazione doppia tramite Google Authenticator. Sembra funzionare bene.
Recentemente sono migrato a un nuovo host (Bluehost) e ho configurato il mio sito WordPress.
Ho installato il plugin di sicurezza Wordfence. La configurazione del plugin è tale che ogni volta che qualcuno accede (incluso me stesso), ricevo un avviso via email. E inoltre, se qualcuno tenta di accedere con un nome utente non valido, blocca quell'indirizzo IP per 10 minuti e invia un'email notificandomi che c'è stato un tentativo di accesso fallito.
Dato che ho protetto con password la mia directory Wp-admin, a meno che qualcuno non conosca l'utente e la password, non potrà raggiungere wp-admin o wp-login per tentare di accedere al mio WordPress.
Ma ieri sera ho ricevuto alcune email da Wordfence che citavano blocchi di alcuni indirizzi IP per aver effettuato tentativi falliti di accesso a WordPress utilizzando nomi utente non validi (come admin, Admin o nishant). È possibile bypassare la protezione password lato server della directory wp-admin e tentare di accedere a WordPress?
Nishant
Nishant
Inoltre, ho appena notato che...
Quando uso direttamente l'URL per wp-login, mi viene mostrata la finestra della password lato server per la directory wp-admin. Ma quando clicco su annulla in quella finestra password (2 o 3 volte), viene visualizzata la pagina wp-login!
Ma quando l'URL è wp-admin, allora cliccando su annulla viene visualizzato "401 Autorizzazione Richiesta
Credenziali di accesso non valide!"
E i file di log hanno mostrato che i tentativi di accesso non validi stavano cercando di accedere direttamente a wp-login.php.
Staff editoriale
Sì, wp-login.php è ancora accessibile. Ma anche se ottenessero la password corretta, non sarebbero in grado di vederla. Puoi anche usare la stessa tecnica e proteggere con password il tuo file wp-login.php individualmente.
Amministratore
Jeffro
Quale sarebbe esattamente quel codice? Non ho visto un modo semplice per proteggere con password file specifici in Cpanel.
Bart
Gentile autore,
Sono convinto di aver seguito tutte le tue direttive, eppure ricevo ancora la notifica di "loop infinito" di Firefox. Ecco cosa ho fatto finora:
– Ho creato un file .htpasswds in /.htpasswds/public_html/wp-admin/passwd (CHMOD 664)
– Ho creato un file .htaccess con un hash generato / nome utente e l'ho inserito in /public_html/wp-admin
– Ho inserito la riga ErrorDocument 401 default prima di tutto il codice nel mio file .htaccess principale in /public_html
Potresti per favore guidarmi a risolvere questo problema. Le mie domande principali sono:
– dici “crea un file chiamato ‘.htpasswds’ “. È questo il nome del file corretto? Voglio dire, con la s finale inclusa?
– quale percorso esatto devo specificare nel mio file .htaccess nella mia cartella /public_html/wp-admin? Attualmente dice “AuthUserFile /.htpasswds/public_html/wp-admin/passwd” Non sono sicuro di star facendo bene questa parte…
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
Grazie mille in anticipo… se avete bisogno di altre informazioni sarò più che felice di fornirle. Cordiali saluti,
Bart
Staff editoriale
Che tipo di hosting hai? Hai un hosting web cPanel? Puoi provare a usare il metodo cPanel per generare il file htpswd?
È davvero difficile dire cosa sta andando storto perché abbiamo scritto esattamente la stessa cosa che abbiamo fatto sul nostro sito.
Amministratore
zimbrul
Vorrei farvi una domanda: vi è mai capitato di avere la cartella admin protetta da password e di dover effettuare l'autenticazione per OGNI post che leggete sul vostro blog? Succede con uno dei miei blog. Mi stavo chiedendo se non fosse meglio proteggere l'accesso admin con Google Authenticator o qualcosa di simile…
Staff editoriale
Se ti viene chiesto di autenticarti ogni singola volta, allora sta succedendo una delle due cose:
1. Hai incollato le informazioni di .htaccess nel tuo file .htaccess principale e non nel file .htaccess nella cartella /wp-admin/.
2. Il file admin-ajax.php viene caricato sul frontend. Devi aggiungere la regola per evitare che venga protetto da password. Abbiamo menzionato la soluzione per questo.
Infine, sì, abbiamo 3 livelli di protezione per il nostro admin. Corrispondenza IP (se non corrisponde, allora la password .htaccess), e poi c'è Google Authenticator. Abbiamo anche attivato il limite di tentativi di accesso.
Anche Sucuri fa un buon lavoro nel bloccare altri attacchi.
Amministratore
Anish K.S
Ho provato questo metodo, ma ottengo un errore " Errore 310 (net::ERR_TOO_MANY_REDIRECTS): Ci sono stati troppi reindirizzamenti."
Come si risolve ???
Staff editoriale
L'articolo ha una sezione a riguardo. Non ha risolto questo problema?
Amministratore
Anish K.S
Sì, l'ho risolto. Grazie per il tutorial.
Mathieu Slaedts
Ciao.
Sto cercando di implementare questa protezione. Ho provato le due soluzioni (manuale e dal pannello di amministrazione del mio host). In entrambi i casi, il .htacess è nella cartella wp-admin, ma il popup appare su ogni pagina.
Hai idea da cosa possa dipendere?
Grazie
Staff editoriale
È un comportamento improbabile. Senza esaminare la situazione specifica, non possiamo dirti perché sta succedendo. Sappiamo che seguendo questo tutorial così com'è scritto, dovresti essere in grado di farlo funzionare. Lo stiamo usando su WPBeginner.
Amministratore
Ollie
Ho appena avuto lo stesso problema con il popup che appare su quasi tutte le pagine del mio sito WordPress.
Si scopre che nelle pagine in cui appariva, una risorsa di wp-admin, in questo caso qualcosa da un plugin, veniva richiamata e questo sembra aver attivato il popup. Ho disabilitato il plugin e il popup della password non appare più su quelle pagine.
Quindi, aprirei il sorgente e cercherei wp-admin per vedere cosa causa la comparsa del popup.
Staff editoriale
Il file più comune che viene caricato è admin-ajax.php, e ne abbiamo già parlato. Se un plugin sta caricando un altro file, allora sì, devi tenerne conto.
aditya
Ho fatto seguito come hai detto.
Ho protetto la mia directory wp-admin e funziona per l'accesso, ma lo stesso popup continua ad apparire durante la navigazione nel sito ????
Staff editoriale
Ciò significa che hai il codice nel file .htaccess sbagliato. Devi creare un file .htaccess completamente nuovo nella tua cartella /wp-admin/. Sembra che tu abbia incollato il codice nel tuo file .htaccess principale.
Amministratore
20Music
Ciao,
Ho seguito il suggerimento trovato sul tuo sito. Ho creato una password da cpanel sulla cartella wp-admin e ha funzionato bene per la pagina di accesso dell'amministratore, ma su ogni link che clicco nel sito web, appare un popup che chiede l'identificazione. Tutto va bene quando clicco su annulla.
Sai qual è il problema?
Ho usato anche ErrorDocument 401 default sul .htaccees principale.
Grazie
Staff editoriale
Puoi verificare che la protezione password sia in un file .htaccess separato nella tua cartella wp-admin?
Amministratore
Brad LeBlanc
Ci ho provato e non ho ottenuto alcuna finestra, solo un errore 404 (troppi reindirizzamenti http).
E sono stato bloccato da tutto finché non ho disabilitato la password. Cosa succede?
Staff editoriale
Hai eseguito il trucco .htaccess che abbiamo menzionato nell'articolo che risolve l'errore 404.
Andrew
Grazie per l'ottimo aiuto su wpbeginner!
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
Staff editoriale
Vai su Impostazioni > Permalink. Fai semplicemente clic su Salva e speriamo che questo risolva il problema.
Amministratore
vic
l'aggiornamento dei permalink ha funzionato! grazie, mi hai salvato da molti grattacapi..!
Tomy
Informazioni davvero utili grazie, a quanto pare ho appena avuto una violazione, 3 file sono stati aggiunti alla mia installazione di Wordpress. 1 in wp-admin, 1 in wp-admin/images e 1 in wp-includes.
Erano tutti file php. Uno di essi conteneva schifezze codificate in base 64.
Configurerò l'htaccess in wp-admin e il plugin per limitare i tentativi di accesso sembra fornire belle informazioni.
Oh, sono stato in grado di notare i file che sono stati aggiunti alla mia installazione perché il plugin di monitoraggio file di Wordpress me lo ha segnalato.
Mao Shan
Ciao,
Ho seguito il suggerimento trovato su Internet su come proteggere la cartella wp-admin. Ho creato un .htacess per proteggere la cartella con password. Tuttavia, dopo averlo implementato, su ogni link che clicco sul sito web, apparirà un popup che chiede l'identificazione. Tutto va bene quando clicco su annulla. Sai qual è il problema? Voglio proteggere la mia cartella wp-admin ma non voglio il popup su tutte le pagine/link. Attualmente sto usando solo il tema Mayashop e il plugin woocommerce.
Grazie
Di seguito è riportato un esempio del mio .htacess
Order allow,deny
Allow from all
Satisfy any
Order allow,deny
Allow from all
Satisfy any
Order allow,deny
Allow from all
Satisfy any
AuthType Basic
AuthName “Admin Only”
AuthUserFile “(myurl)/.htpasswds/public_html/wp-admin/passwd”
require valid-user
Staff editoriale
Se il tuo file .htaccess si trova nella tua cartella /wp-admin/, allora questo non dovrebbe accadere. A meno che tu non stia caricando asset di amministrazione di WordPress sul tuo front-end.
Amministratore
Mao Shan
Beh, il file .htaccess è nella cartella wp-admin. Ho cambiato il tema in twentyeleven e tutto funziona bene. Solo con l'altro tema, la richiesta di autorizzazione appare su tutte le pagine/link.
Ho aggiunto la riga sottostante e tutto sembra a posto, ma quando arrivo a url/wp-admin, mostra Errore 310 (net::ERR_TOO_MANY_REDIRECTS): Ci sono stati troppi reindirizzamenti. Qual è il motivo?
File ~ "\.(php)$"
Ordine allow,deny
Allow from all
Satisfy any
File
Staff editoriale
Hai letto la parte dell'articolo che parla specificamente di quell'errore?
Mao Shan
Ciao, sono riuscito a risolverlo dopo un'installazione pulita di WordPress. il problema è che ora non riesco a creare un modulo di contatto perché mi reindirizza all'errore 404 e quando attivo il plugin xcloner, mi reindirizza anche all'errore 404.
Qualcuno può aiutarmi?
Sudeep Acharya
Ho protetto con password wp-admin. Ma nonostante ciò qualcuno è in grado di fare un attacco brute-force sul mio blog. Quale potrebbe essere il motivo?
Staff editoriale
Come fai a sapere che hanno effettuato un accesso forzato e si sono loggati al tuo wp-admin? Sembra davvero sospetto. Spesso, quando succede, l'utente ha una backdoor attiva.
Amministratore
Sudeep Acharya
Ho avuto troppi loop di reindirizzamento e ho appena aggiunto questo codice
ErrorDocument 401 default
in .httaccess ha risolto il problema.
Ahsan
Dimmi dove devo mettere questa riga... per favore
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
Uso Cpanel e ho seguito le istruzioni su come impostarlo, e l'ho fatto, anche l'utente e la password.
Tuttavia, quello che ho scoperto dopo ore di frustrazione è che il file .htaccess principale deve avere aggiunto: ErrorDocument 401 default
Se aggiungi questo solo al file .htaccess principale, tutto funziona. In cima, prima dell'inizio di WordPress, il tuo mondo sarà molto più rilassato. Questo dopo aver impostato la protezione della directory in cpanel.
Grazie, ho usato la tua pagina con qualche piccola modifica e funziona benissimo.
damian
Mi sto scoraggiando così tanto. Il mio sito è stato hackerato dopo soli 2 giorni online! La quantità di passaggi necessari per proteggere il sito è opprimente, e poi riescono comunque a entrare...
E ogni "autorità" sembra avere un'opinione, un approccio o dei plugin preferiti diversi... la mia testa sta girando... puoi per favore darmi una sequenza numerata di base dei passaggi da seguire per evitare di essere hackerato... inclusi cpanel, backend wp e qualsiasi altra cosa tu possa pensare sia utile... e speriamo passi che non richiedano una certificazione A+.... grazie amico!
Staff editoriale
Ci scusiamo sinceramente per l'esperienza che hai avuto finora. Parlando da questo momento, non ci sono problemi di sicurezza noti nel core di WordPress. Quindi, se stai utilizzando la versione più aggiornata di WordPress, allora va bene. Spesso i problemi di sicurezza riguardano plugin e temi codificati male. Prima di poter proteggere il tuo sito, devi ripulirlo. A volte, cambiare le password e aggiungere tutte queste misure non sono sufficienti. Perché gli hacker possono lasciare file di accesso backdoor che danno loro accesso shell al tuo server. Ti consigliamo vivamente di iniziare a usare Sucuri e di effettuare backup regolari.
https://www.wpbeginner.com/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
Assicurati di mantenere sempre aggiornati i tuoi plugin e i file core. Non utilizzare plugin/temi da fonti non attendibili. WordPress è diventato il Windows del nostro tempo. Poiché ci sono così tanti siti che lo utilizzano, gli hacker hanno la motivazione per trovare le vulnerabilità nei plugin, nei temi, ecc.
Lavoreremo alla creazione di un tutorial completo sulla sicurezza.
Amministratore
bob
Ho protetto con password il mio wp-admin sui miei siti ma stavo ancora ricevendo avvisi di blocco dal plugin di login di limit. Come poteva essere?
Ho poi notato che se digito /wp-login.php? invece e poi annullo, posso accedere alla pagina di login. Uggggh. Mi fa chiedere quali altri workaround ci siano che non conosco.
Staff editoriale
Dovresti considerare di aggiungere anche questo trucco.
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
Amministratore
Peter
LA SOLUZIONE DA HOSTGATOR
Sembra che un plugin di sicurezza avesse aggiunto una riscrittura al file .htaccess all'interno di wp-admin/ per il tuo account. Questo stava causando il reindirizzamento del sito su se stesso, creando un loop di reindirizzamento.
Ho corretto il problema con il file .htaccess e la tua pagina di accesso a wp-admin si sta caricando correttamente al momento.
Se hai altre domande o dubbi, faccelo sapere.
Cordiali saluti,
Preston M.
Amministratore di sistemi Linux
HostGator.com LLC
Peter
Un tecnico di HostGator ha lavorato per mezz'ora sul problema dell'errore 404. Non è riuscito a risolverlo.
Ha persino rimosso tutte le regole di riscrittura nel file .htaccess di public_html
Peter
Ancora "Troppi reindirizzamenti" errore
La pagina non si sta reindirizzando correttamente
Firefox ha rilevato che il server sta reindirizzando la richiesta per questo indirizzo in un modo che non terminerà mai.
Questo problema può a volte essere causato dalla disabilitazione o dal rifiuto di accettare
i cookie.
MA ho aggiunto:
“Redirect 301 /tag/tax/ http://snbchf.com/tag/taxes/
Redirect 301 /tag/interest-rate/ http://snbchf.com/tag/academical/
Redirect 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Redirect 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
nel mio .htaccess nella directory public_html.
(ho provato anche a mettere "ErrorDocument 401 default" all'inizio)
Ankur
È un ottimo modo per proteggere la directory wp-admin. Lo usavo da molto tempo ma quando ho installato commentluv, ho dovuto disinstallarlo perché non era in grado di funzionare correttamente.
Sai per caso qualche soluzione alternativa?
Staff editoriale
Just updated the article. Try that
Amministratore
Ankur
Thanks, commentluv now works fine
mindctrl
FYI, ho visto che questo interrompe i plugin che usano ajax sul frontend chiamando wp-admin/admin-ajax.php.
Staff editoriale
Sì, è vero. Non stavamo usando alcun plugin che effettuasse quella chiamata. Tuttavia, puoi aggiungere un'eccezione per quel file nel .htaccess.
Amministratore
Martin
Non sono sicuro di cosa faccia cpanel, ma aggiungere un semplice htpasswd otterrà lo stesso risultato.
Staff editoriale
Bene, puoi aggiungere un htpasswd. Ma dovresti anche creare una regola .htaccess nella directory wp-admin per specificare che stai bloccando la directory. Quindi specificare l'utente o il gruppo di utenti autorizzato, ecc. Questo fondamentalmente ci aiuta a semplificare il processo.
Amministratore
zimbrul
Il tutorial sopra sta effettivamente aggiungendo sicurezza con .htpassword e .htaccess tramite un'interfaccia user-friendly in cPanel. Dopo aver fatto quanto sopra, noterai che un file .httpassword è stato generato al di fuori della root del tuo server (per motivi di sicurezza) e all'interno del file troverai le informazioni che hai inserito secondo questo tutorial.
Howard
Su ogni sito WP che ho, al mio primissimo accesso dopo la configurazione, creo un altro account amministratore con un nome per cui uso una formula per costruire - e una password molto forte, generata dal computer. Poi mi disconnetto, e poi accedo all'account amministratore alternativo, e riduco il nome utente amministratore standard a "nessun ruolo per questo sito" e imposto una password generata dal computer che sia lunga almeno 35 caratteri. Non mi preoccupo di salvare quella password da nessuna parte. Ora è solo un honeypot.
Quindi installo il plugin "limit login attempts". Ogni volta che viene attivato, aggiungo l'indirizzo IP offensivo alla mia lista di blocco in .htaccess per assicurarmi che quell'IP non possa raggiungere il mio sito.
Intercetto 3 o 4 tentativi di accesso all'admin ogni settimana.
Staff editoriale
Sì, abbiamo avuto anche noi. Arriva un punto in cui gli attacchi rimbalzano tra IP. Bloccare un'ampia gamma di IP non è un'opzione sufficiente. Avevamo anche limitato gli accessi per IP, ma nemmeno quello sembrava funzionare.
Amministratore
Howard
Il plugin "limit login attempts" è piuttosto buono. L'ho impostato per bloccare per 100 ore dopo 4 tentativi falliti, con il quarto blocco impostato per 4000 ore. Quindi, anche se il malintenzionato può cambiare dinamicamente IP, deve farlo ogni quattro tentativi. E con una password casuale molto lunga, ciò dovrebbe richiedere un paio di secoli e più indirizzi IP di quanti ne possa ragionevolmente accedere.
Nel caso altamente improbabile che riescano a violare il mio "admin", non gli servirà comunque a nulla. Ogni volta che noto che il delinquente ha effettivamente capito qual è il mio vero nome utente admin (è successo solo una volta finora), ne creo immediatamente uno nuovo e imposto quello vecchio su "nessun ruolo per questo sito" con una password casuale molto lunga. Ci sono alcuni altri dettagli (ad esempio, prima devo cambiare l'indirizzo email prima che mi permetta di creare il nuovo account admin con la mia email), ma questo ha sostanzialmente risolto il problema.
Non so davvero se questo sia a prova di proiettile, ma spero che i delinquenti decidano che è troppo lavoro e vadano a infastidire un sito più debole.
zimbrul
"Ogni volta che noto che il delinquente ha effettivamente capito qual è il mio vero nome utente admin..." posso chiederti come l'hai capito?
Howard
@zimbrul Certo.
Il plugin limit login attempts mi dice quale nome utente è sotto attacco. Di solito è "admin", ma c'è stata un'occasione in cui ho visto il nome del mio vero account admin. Quindi ho creato un nuovo account admin e ho lasciato il vecchio lì, ma privato di qualsiasi accesso e con una password ridicolmente lunga.
Non sono sicuro di come il colpevole abbia trovato l'account admin, dato che gli ho assegnato un "soprannome" non correlato che appare nei post. Suppongo che ci sia qualche file sul server che può essere almeno parzialmente letto da un hacker, e probabilmente devo ricercare questo.
Staff editoriale
È abbastanza facile trovare il nome di accesso. Tutto ciò che la persona deve fare è guardare il tuo URL autore per conoscere il tuo nome utente. Ad esempio questo:
https://www.wpbeginner.com/author/wpbeginner/
Il nome utente sarebbe "wpbeginner". Per la maggior parte dei siti è così, a meno che ovviamente non abbiano cambiato il nome utente come mostrato in questa tecnica:
https://www.wpbeginner.com/wp-tutorials/how-to-change-your-wordpress-username/
Se lo fai in quel modo, il tuo nome utente cambierà, ma il tuo URL autore no.
zimbrul
Howard, questo è un punto interessante; cercherò di implementarlo.
Inoltre ho avuto problemi con errori 404 o troppi reindirizzamenti e non conoscevo la soluzione, grazie per questo!
Per qualche motivo, bannare l'indirizzo IP in .htaccess nella cartella wp-admin non funziona per il mio sito zimbrul.co.uk! Ho provato ad accedere al mio sito dal mio telefono cellulare in 3G e sono riuscito ad accedervi anche se l'unico IP consentito era l'IP di casa.
Staff editoriale
Sì, è per questo che è utile avere una doppia autenticazione come questa.
Amministratore