I proprietari di siti web devono dare priorità alla sicurezza di WordPress per proteggere i propri dati sensibili e mantenere la fiducia dei propri utenti. Un modo molto efficace per farlo noi di WPBeginner è proteggere con password la nostra directory di amministrazione di WordPress.
La directory wp-admin è il centro di controllo del tuo sito WordPress. È dove gestisci tutto, dal contenuto alle impostazioni, rendendola un obiettivo primario per gli hacker. Proteggere con password i tuoi file di amministrazione li manterrà al sicuro dagli attacchi.
Questo articolo fornisce una guida semplice per proteggere facilmente con password la tua directory wp-admin e rafforzare la sicurezza del tuo sito web.
Perché proteggere con password la tua directory di amministrazione di WordPress?
Proteggendo con password la tua directory di amministrazione di WordPress, aggiungi un ulteriore livello di sicurezza al punto di ingresso più importante del tuo sito web WordPress.
La tua bacheca di amministrazione di WordPress è il fulcro del tuo sito. È dove pubblicherai articoli e pagine, personalizzerai il tuo tema, installerai plugin WordPress e altro ancora.
Often, when hackers try to get into your website, they’ll do it through the wp-admin screen using a brute force attack.
You can help protect your website against potential attacks by using security measures such as a strong password and limiting login attempts.
To be even more secure, you can also password-protect the wp-admin directory. Then, when someone attempts to access your admin area, they’ll need to enter a username and password before they ever make it to the WordPress login page.
With that said, let’s take a look at how you can password-protect your WordPress admin directory step by step.
The first method is recommended for most users, and you can use the quick links below to jump straight to the method you want to use:
- Password-Protect wp-admin Using Directory Privacy (Recommended)
- Password-Protect wp-admin Using Code
- Troubleshooting wp-admin Password Protection
- Bonus: Best WordPress Guides for wp-admin Security
Tutorial video
Se preferisci istruzioni scritte, continua a leggere.
Method 1: Password-Protect wp-admin Using Directory Privacy (Recommended)
The easiest way to password-protect your WordPress admin directory is by using your WordPress hosting provider’s Directory Privacy app.
Innanzitutto, devi accedere alla dashboard del tuo account di hosting e fare clic sull'opzione ‘Directory Privacy’ nella sezione File della dashboard cPanel del tuo sito web.
Nota: La maggior parte degli host web che utilizzano cPanel, come Bluehost, avranno passaggi simili. Tuttavia, la tua dashboard potrebbe essere leggermente diversa dai nostri screenshot, a seconda del tuo provider di hosting.
Questo ti porterà a una schermata che elenca tutte le diverse directory sul tuo server. Devi trovare la cartella che contiene i file del tuo sito web.
Per la maggior parte dei proprietari di siti web, questo si trova facendo clic sulla cartella ‘public_html’.
Questo visualizzerà tutti i file del sito web che hai installato sul tuo server.
Successivamente, dovrai fare clic sulla cartella con il nome di dominio del tuo sito web.
In quella cartella, vedrai una cartella wp-admin.
Invece di fare clic sul nome della cartella, dovrai fare clic sul pulsante ‘Modifica’ accanto a quella cartella.
Questo ti porta a una schermata in cui puoi attivare la protezione con password.
Basta selezionare la casella che dice ‘Proteggi questa directory con password’. Se lo desideri, puoi anche dare alla tua directory un nome come ‘Area Amministrativa’ per aiutarti a ricordarla.
Una volta fatto ciò, dovrai fare clic sul pulsante 'Salva'.
Questo ti porterà a una pagina in cui apparirà il messaggio di conferma.
Ora dovrai fare clic sul pulsante 'Torna indietro' e verrai portato a una schermata in cui potrai creare un utente che potrà accedere a questa directory.
Ti verrà chiesto di inserire un nome utente e una password, quindi di confermare la password. Assicurati di annotare il tuo nome utente e la tua password in un luogo sicuro, come un' app per la gestione delle password.
Assicurati di fare clic sul pulsante ‘Salva’ quando hai finito.
Ora, quando qualcuno tenterà di accedere alla tua directory wp-admin, gli verrà richiesto di inserire il nome utente e la password che hai creato in precedenza.
Metodo 2: Proteggi con password wp-admin usando il codice
Puoi anche proteggere con password la tua directory di amministrazione di WordPress manualmente. Per fare ciò, dovrai creare due file chiamati .htpasswd e .htaccess.
Nota: Aggiungere codice al tuo sito WordPress può essere pericoloso. Anche un piccolo errore può causare gravi problemi al tuo sito web. Consigliamo questo metodo solo per utenti avanzati.
Creazione del file .htaccess
Per prima cosa, apri il tuo editor di testo preferito e nomina il nuovo file .htaccess.
Successivamente, devi copiare il seguente snippet di codice e aggiungerlo al file:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Assicurati di modificare il percorso di 'AuthUserFile' con la posizione in cui caricherai il file .htpasswd e cambia 'yourusername' con il nome utente che desideri utilizzare per accedere.
Non dimenticare di salvare il file quando hai finito.
Creazione del file .htpasswd
Una volta fatto ciò, è necessario creare un file .htpasswd.
Per fare ciò, apri un editor di testo e crea un file chiamato .htpasswd. Questo file elencherà il tuo nome utente insieme alla tua password in formato crittografato.
Il modo più semplice per generare la password crittografata è con un generatore htpasswd.
Inserisci semplicemente il tuo nome utente e password, seleziona il formato di crittografia e fai clic sul pulsante 'Crea file .htpasswd'.
Il generatore htpasswd visualizzerà una riga di testo che dovrai incollare nel tuo file .htpasswd. Assicurati di salvare il file una volta fatto ciò.
Caricare .htaccess e .htpasswd nella directory wp-admin
L'ultimo passaggio consiste nel caricare entrambi i file creati nella cartella wp-admin del tuo sito web.
Dovrai connetterti al tuo account di hosting WordPress utilizzando un client FTP o lo strumento di gestione file online fornito dal tuo provider di hosting. Per maggiori dettagli, consulta la nostra guida per principianti su come utilizzare FTP per caricare file su WordPress.
Per questo tutorial, utilizzeremo FileZilla perché è gratuito e funziona sia su Mac che su Windows.
Una volta connesso al tuo sito web, vedrai i file sul tuo computer nella finestra di sinistra e i file sul tuo sito web sulla destra. A sinistra, dovrai navigare nella posizione in cui hai salvato i file .htaccess e .htpasswd.
Quindi, sulla destra, è necessario accedere alla directory wp-admin del sito web che si desidera proteggere. La maggior parte degli utenti dovrà fare doppio clic sulla cartella public_html, quindi sulla cartella con il nome del proprio dominio, quindi sulla cartella wp-admin.
Ora, puoi selezionare i due file a sinistra e fare clic su 'Carica' dal menu contestuale o semplicemente trascinare i file nella finestra di sinistra.
Ora, la tua directory 'wp-admin' sarà protetta da password.
Troubleshooting wp-admin Password Protection
A seconda di come sono configurati il tuo server e il tuo sito web, c'è la possibilità che tu possa incontrare errori di WordPress. Questi errori possono essere risolti aggiungendo attentamente codice al tuo file .htaccess.
Nota: Questo è il file .htaccess situato nella cartella principale del tuo sito web, non quello che hai caricato nella cartella ‘wp-admin’. Se hai difficoltà a trovarlo, consulta la nostra guida su perché non riesci a trovare .htaccess e come individuarlo.
Risoluzione dell'errore Ajax non funzionante
Uno degli errori più comuni è che la funzionalità Ajax potrebbe smettere di funzionare sul front-end del tuo sito. Se hai plugin WordPress che richiedono Ajax, come la ricerca Ajax live o moduli di contatto Ajax, noterai che questi plugin non funzioneranno più.
Per risolvere questo problema, aggiungi semplicemente il seguente codice al file .htaccess che si trova nella tua cartella wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Risoluzione dell'errore 404 e dell'errore Troppi reindirizzamenti
Altri due errori che potresti incontrare sono l'errore 404 e l'errore di troppi reindirizzamenti.
Il modo più semplice per risolverli è aprire il tuo file .htaccess principale situato nella directory del tuo sito web e aggiungere la seguente riga di codice prima delle regole di WordPress:
ErrorDocument 401 default
Bonus: Best WordPress Guides for wp-admin Security
Speriamo che questo articolo ti abbia aiutato a imparare come proteggere con password la tua directory di amministrazione di WordPress (wp-admin). Potresti voler consultare ulteriori guide per rendere la tua area di amministrazione più sicura:
- Come Limitare l'Accesso all'Area Amministrativa di WordPress per Indirizzo IP
- Suggerimenti vitali per proteggere la tua area di amministrazione di WordPress (aggiornato)
- Come aggiungere un URL di accesso personalizzato in WordPress (passo dopo passo)
- Come e perché limitare i tentativi di accesso in WordPress
- Come aggiungere l'autenticazione a due fattori in WordPress (metodo gratuito)
- Come aggiungere domande di sicurezza alla schermata di accesso di WordPress
- Come forzare gli utenti a cambiare password in WordPress – Scadenza password
- Come reimpostare le password per tutti gli utenti in WordPress
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
tom
Potrebbe essere una domanda stupida ma mi chiedo ora – ho la configurazione sopra applicata al mio sito web e funziona bene, ma supponiamo che un bot tenti di forzare quell'area di accesso aggiuntiva e l'ho provato manualmente per un po' e il mio server non ha bloccato il mio IP o altro. Quindi tecnicamente quell'attacco di forza bruta su quell'area potrebbe durare 'per sempre' e questo a sua volta potrebbe rallentare il mio sito web in qualche modo, o no? Se sì, è un peccato perché mi ci sono volute un paio d'ore per impostarlo ed ero entusiasta di quel livello aggiuntivo di protezione...
Supporto WPBeginner
Sebbene sia possibile, richiede molte meno risorse caricare l'accesso alla tua area wp-admin rispetto alla tua pagina di accesso di WordPress, il che significa che richiederebbe molto di più da un attacco di forza bruta per influire sulla velocità del tuo sito.
Amministratore
Dayo Olobayo
Non sono molto esperto di tecnologia, ma sono contento che tu abbia incluso l'opzione per utilizzare l'app Directory Privacy. Sembra molto più facile che creare quei file .htaccess. Grazie.
Mrteesurez
Grazie. L'ho trovato utile.
Voglio chiedere se tutti i metodi offrono lo stesso livello di sicurezza, preferirei e consiglierei di attenersi al primo metodo in quanto sembra facile e diretto.
O c'è qualcuno che è migliore dell'altro??
Supporto WPBeginner
Questi sono metodi diversi per ottenere lo stesso risultato, quindi dipenderebbe dalla tua preferenza per quale useresti.
Amministratore
Mark
C'è un modo per gli hacker di accedere a questa password e persino di cambiarla, come in phpMyAdmin?
Supporto WPBeginner
Avrebbero bisogno di accedere al tuo provider di hosting o ai file del sito per questa guida.
Amministratore
Salman
Ho cambiato il mio URL di accesso usando il plugin "WPS Hide Login". Diciamo che il vecchio URL terminava in wp-admin/ e il nuovo URL termina in hidden/ ora come posso proteggere con password questo nuovo URL?
Supporto WPBeginner
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
Amministratore
Jiří Vaněk
WPShide non crea una nuova cartella, lo uso anch'io. La cartella wp-admin è ancora sul server e funzionante. Quindi, se usi WPSHide, proteggi la cartella wp-admin esattamente allo stesso modo.
Jiří Vaněk
Una buona pratica è anche rinominare l'URL di amministrazione di WordPress e scegliere un nome utente amministratore diverso da 'admin'. La modifica dell'URL rende più difficile per gli aggressori localizzare l'amministrazione e non utilizzare 'admin' come amministratore riduce il rischio di un attacco di forza bruta riuscito.
Supporto WPBeginner
Avere un nome utente diverso da admin è sicuramente raccomandato, ma per cambiare l'URL di wp-admin non è sempre consigliato poiché ciò può causare problemi con alcuni plugin e rendere più difficile la risoluzione dei problemi.
Amministratore
Jose
La correzione Ajax ha funzionato bene. Grazie mille per questo.
Supporto WPBeginner
Glad our article could help
Amministratore
Umer Yaseen
Cosa succede se qualcuno accede alla nostra directory di amministrazione di WordPress inserendo il mio sito web.com/wp-login.php invece di il mio sito web.com/wp-admin. Questo metodo protegge solo wp-admin e non protegge wp-login.php. Quindi, a cosa serve?
Supporto WPBeginner
Questo mostrerebbe lo stesso prompt per gli utenti che tentano di accedere utilizzando wp-login.php
Amministratore
nadia
sei il migliore. grazie mille come sempre.
Supporto WPBeginner
Glad you’ve found our content helpful
Amministratore
Lordemmaculate
Voglio farlo ma il mio server è Nginx non Apache quindi non posso usare .htaccess
Supporto WPBeginner
We’ll see if we can add a method for that type of server when we update this article
Amministratore
Rajah
Il primo metodo tramite cPanel ha funzionato alla grande. Tuttavia, quando mi disconnetto di nuovo da WP e accedo di nuovo, non mi chiede più la password della directory. È previsto che venga richiesta solo una volta?
Supporto WPBeginner
I tuoi cookie/cache ricorderanno le informazioni di accesso. Normalmente, la prossima volta che avvii il tuo computer, ti verrà richiesto di accedere di nuovo.
Amministratore
Webo
Molto bene, grazie...
Supporto WPBeginner
You’re welcome
Amministratore
Izzy
La voce "Password Protect Directories" non è presente nel mio cPanel sotto "sicurezza", quindi ho provato il metodo manuale, ma non sembra funzionare poiché non mi chiede l'accesso quando apro wp-admin...
Supporto WPBeginner
Se contatti il tuo provider di hosting, dovrebbero essere in grado di assisterti e dare un'occhiata se c'è un motivo per cui non funziona.
Amministratore
Ahsan Ali
Grazie per i tuoi sforzi!
Ho usato il metodo cpanel, funziona bene ma il problema è che la richiesta di password appare su ogni pagina del mio sito web!
Cosa devo fare in modo che appaia solo sulla pagina wp-admin?
Supporto WPBeginner
Sembra che tu abbia protetto con password la cartella public_html invece della cartella wp-admin. Dovresti rimuovere la protezione attuale e tentare di impostarla di nuovo
Amministratore