La maggior parte delle persone non pensa alla sicurezza della propria area di amministrazione di WordPress finché non è troppo tardi. Abbiamo aiutato gli utenti a recuperare da attacchi in cui l'area di amministrazione di WordPress era rimasta completamente aperta.
Ecco perché consigliamo di limitare l'accesso all'area di amministrazione in base all'IP. È una tecnica che abbiamo utilizzato sui siti dei clienti che necessitano solo di una o due persone che accedano da reti note.
In questo tutorial, ti mostreremo come bloccare l'accesso all'amministrazione di WordPress tramite una rapida modifica al file .htaccess. È un modo semplice ma molto efficace per proteggere il tuo sito web WordPress da minacce comuni.
Perché limitare l'accesso all'amministrazione di WordPress per indirizzo IP?
Se gestisci un sito web WordPress, allora devi prendere sul serio la sicurezza del tuo sito web. Sebbene il software core di WordPress sia molto sicuro, c'è di più che puoi fare per proteggerti da hacker e attacchi di forza bruta.
Gli hacker possono mettere fuori uso il tuo sito web, oltre a danneggiare le tue entrate e la tua reputazione. Possono rubare dati o persino distribuire malware ai visitatori del tuo sito web e far sì che il tuo dominio venga inserito nella lista nera di Google e altri.
Un modo intelligente per bloccare gli hacker e migliorare la sicurezza di WordPress è proteggere la tua area di amministrazione di WordPress da accessi non autorizzati.
Se solo tu o pochi utenti fidati avete bisogno di accedere all'area di amministrazione, un buon modo per farlo è limitare l'accesso a wp-admin e alla pagina di accesso di WordPress agli indirizzi IP del tuo team.
Ogni membro del team si connetterà al tuo sito WordPress utilizzando un indirizzo IP specifico per ogni località. Se blocchi l'accesso a tutti gli altri indirizzi IP, un hacker non sarà in grado di accedere al tuo sito web anche se ha scoperto il tuo nome utente e password.
Invece, vedranno il messaggio di errore: 'Proibito. Non hai il permesso di accedere a questa risorsa.'
Vediamo come limitare l'accesso all'amministrazione di WordPress per indirizzo IP.
Come Limitare l'Accesso all'Area Amministrativa di WordPress per Indirizzo IP
La prima cosa da fare è creare un elenco degli indirizzi IP utilizzati da tutti i membri del tuo team che necessitano di accedere all'area di amministrazione di WordPress.
Devi chiedere ai membri del tuo team di inviarti i loro indirizzi IP dalle località da cui lavorano solitamente. Se qualcuno lavora da diverse località, dovrai raccogliere l'indirizzo IP per ognuna di esse.
Dovrai anche aggiungere il tuo indirizzo IP all'elenco.
Come trovare il tuo indirizzo IP?
Il modo più semplice per trovare il tuo indirizzo IP è visitare un sito come SupportAlly o WhatisMyIPAddress.com.
Questi siti web ti mostreranno il tuo indirizzo IP, che potrai quindi aggiungere al tuo elenco. Puoi anche chiedere ai membri del tuo team di visitare questi siti per trovare il loro indirizzo IP e inviartelo.
Una volta creato il tuo elenco, puoi procedere a limitare l'accesso per indirizzo IP. Ti mostreremo due approcci in modo che tu possa scegliere quello che fa per te.
🚨 Nota importante: Nelle sezioni seguenti, ti mostreremo come modificare file importanti per limitare l'accesso all'amministratore. Questo può essere rischioso, anche per utenti esperti, poiché anche il più piccolo errore può bloccare il tuo sito o comprometterne la funzionalità. Ecco perché raccomandiamo sempre di creare prima un backup.
1. Limita l'accesso per indirizzo IP utilizzando il file .htaccess (consigliato)
Per questo metodo, utilizzeremo il file .htaccess. È un file di configurazione a livello di server che puoi modificare per impostare diverse cose.
Viene eseguito prima ancora che il tuo sito WordPress venga caricato, motivo per cui l'aggiunta di istruzioni di sicurezza lì ti offre una protezione molto migliore.
Dovrai utilizzare un client FTP o l'app di gestione file del tuo provider di hosting. Se non hai mai usato FTP prima, potresti voler consultare la nostra guida su come usare FTP per caricare file su WordPress.
Dovrai utilizzare il software per navigare nella cartella /wp-admin/ del tuo sito web. Una volta lì, dovresti cercare il file .htaccess. Questo è un file nascosto, quindi se non riesci a vederlo, potresti dover abilitare l'opzione mostra file nascosti nel tuo software.
Se quel file non esiste nella cartella, dovresti crearne uno nuovo e salvarlo con il nome .htaccess nella tua cartella /wp-admin/.
Attenzione ⚠️: Non modificare il file .htaccess della tua directory principale, altrimenti bloccherai i visitatori dall'area pubblica del tuo sito web! Assicurati di modificare /wp-admin/.htaccess.
Dovresti prima scaricare una copia del file sul tuo computer come backup.
Una volta fatto ciò, dovrai modificare .htaccess e incollare il seguente codice nel file:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<Limit GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>
Procedi pure a modificare il file per farlo corrispondere ai nomi dei membri del tuo team e poi incolla gli indirizzi IP che hai raccolto in precedenza per sostituire dove dice xx.xx.xx.xxx.
Una volta salvato il file, solo quegli indirizzi IP potranno accedere all'area di amministrazione di WordPress.
Ricorda che se il tuo indirizzo IP cambia o provi ad accedere al tuo sito web da una nuova posizione, verrai bloccato dall'area di amministrazione di WordPress. Dovrai aggiungere il tuo nuovo indirizzo IP al file /wp-admin/.htaccess .
2. Restringi l'accesso utilizzando wp-config.php (metodo alternativo)
Se il tuo server non supporta le regole .htaccess o stai eseguendo WordPress su un server non Apache come NGINX o LiteSpeed, allora l'utilizzo del file wp-config.php è una buona alternativa.
Modificare wp-config.php può essere più sicuro che modificare .htaccess perché è meno probabile che causi errori a livello di server ed è facile da ripristinare se necessario. Detto questo, dovrai comunque apportare modifiche con attenzione, poiché anche errori minori possono bloccare il tuo sito.
Il file wp-config.php viene caricato all'inizio del processo di avvio di WordPress, il che lo rende un luogo sicuro per applicare restrizioni. È particolarmente utile per sviluppatori o utenti avanzati che gestiscono siti su diversi ambienti server.
Per utilizzare questo metodo, apri il tuo file wp-config.php utilizzando un client FTP o il file manager del pannello di controllo del tuo hosting. Quindi, appena sopra la riga che dice /* Questo è tutto, smetti di modificare! Buona scrittura. */, aggiungi il seguente codice:
if (strpos($_SERVER['REQUEST_URI'], '/wp-admin') !== false ||
strpos($_SERVER['REQUEST_URI'], '/wp-login.php') !== false) {
if ($_SERVER['REMOTE_ADDR'] !== '123.456.78.90') {
header('HTTP/1.0 403 Forbidden');
exit;
}
}
Sostituisci 123.456.78.90 con il tuo indirizzo IP corrente. Questo codice bloccherà tutto l'accesso alle tue pagine di amministrazione e di accesso di WordPress, eccetto dal tuo IP consentito.
Aggiunta di più indirizzi IP:
Per aggiungere altri membri del team dovrai usare un codice diverso. In questo codice, userai un array di indirizzi IP per diversi membri del team separati da virgole. Come questo:
$allowed_ips = array('123.456.789.000', '987.654.321.000', '200.200.255.168'); // Add more IPs as necessary
if ( !in_array($_SERVER['REMOTE_ADDR'], $allowed_ips) ) {
wp_die('Unauthorized access. Your IP address is not permitted.');
}
Attenzione⚠️: Se il tuo indirizzo IP cambia spesso o lavori da più reti, questo metodo potrebbe bloccarti. Esegui sempre un backup prima di apportare modifiche a wp-config.php.
Gestione di IP dinamici o più membri del team
Se il tuo indirizzo IP cambia spesso o il tuo team lavora da reti diverse, le restrizioni basate sull'IP in .htaccess o wp-config.php potrebbero non essere pratiche. Questi metodi funzionano meglio quando l'accesso è limitato a un IP o una posizione fissa.
Per una sicurezza più flessibile, puoi utilizzare approcci alternativi elencati di seguito:
1. Aggiungi l'autenticazione a due fattori (2FA)
L'aggiunta dell'autenticazione a due fattori significa che gli utenti devono inserire sia la loro password che un codice monouso dal loro telefono per accedere. Questo impedisce agli aggressori di accedere al tuo sito anche se conoscono la tua password.
Per saperne di più, consulta la nostra guida passo passo su come aggiungere l'autenticazione a due fattori in WordPress.
2. Proteggi con password la tua cartella Admin
Questo approccio aggiunge un ulteriore livello di sicurezza prima ancora che gli utenti possano raggiungere la schermata di accesso di WordPress. Quando qualcuno tenta di visitare /wp-admin/, dovrà prima inserire un nome utente e una password a livello di server impostati da te.
Questo aiuta a bloccare bot e aggressori dal tentativo di indovinare le tue credenziali di accesso a WordPress. Per maggiori dettagli, consulta il nostro tutorial su come proteggere con password la cartella di amministrazione di WordPress.
Domande frequenti
Cosa succede se il mio indirizzo IP cambia?
Se stai utilizzando restrizioni IP in .htaccess o wp-config.php e il tuo IP cambia, sarai bloccato fuori dalla tua area di amministrazione. Per riottenere l'accesso, dovrai aggiornare l'indirizzo IP consentito tramite FTP o il pannello di controllo del tuo hosting.
Posso consentire l'accesso da più indirizzi IP?
Sì. Puoi elencare più indirizzi IP nelle tue regole .htaccess o wp-config.php. Ognuno dovrebbe essere aggiunto come una riga Allow from separata o una condizione if, a seconda del metodo che stai utilizzando.
E se uso un hotspot mobile o una VPN?
Gli hotspot mobili e le VPN utilizzano spesso IP dinamici, che possono cambiare frequentemente. In questo caso, consigliamo di abilitare l'autenticazione a due fattori o di proteggere con password la tua cartella di amministrazione per una protezione più flessibile.
Altri suggerimenti per la sicurezza di WordPress
Limitare l'accesso alla tua area di amministrazione è una mossa intelligente, ma è solo un pezzo del puzzle. Ecco altri tutorial utili per rafforzare la sicurezza del tuo sito e saperne di più sulle funzionalità di .htaccess.
- Come e perché limitare i tentativi di accesso in WordPress
- Suggerimenti per la sicurezza dell'e-commerce: come proteggere il tuo negozio WordPress
- Trucchi .htaccess più utili per WordPress
- Suggerimenti per proteggere l'area di amministrazione di WordPress (Aggiornato)
- Come eseguire un audit di sicurezza di WordPress (checklist completa)
Speriamo che questo tutorial ti abbia aiutato a imparare come limitare l'accesso all'amministrazione di WordPress per indirizzo IP. Potresti anche voler consultare il nostro tutorial su WordPress su come limitare gli autori ai propri post nell'amministrazione di WordPress, o cosa fare quando sei bloccato fuori dall'amministrazione di WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Kzain
questo è utile ma voglio solo sapere dell'indirizzo IP dinamico e dell'indirizzo IP statico per un sito web WordPress, qual è il modo preferito per impostare l'indirizzo IP se WordPress viene gestito principalmente da una rete domestica? E se e quando uso un plugin di sicurezza, vedo cambiare l'indirizzo IP?
Supporto WPBeginner
Se intendi che stai gestendo il tuo sito da una rete domestica, useresti uno dei tanti siti per trovare il tuo indirizzo IP pubblico per trovare l'IP da cui il tuo sito dovrebbe vederti accedere.
Abbiamo maggiori informazioni sugli IP sulla nostra pagina qui sotto!
https://www.wpbeginner.com/glossary/ip-address/
Amministratore
Kzain
grazie per la risposta, leggerò sicuramente quell'articolo.
Jiří Vaněk
È possibile consentire l'accesso all'area di amministrazione da un intero intervallo di rete utilizzando il file htaccess? Intendo, non solo da singoli indirizzi IP ma dall'intero intervallo di una rete. Sarebbe complicato per me elencare tutti gli indirizzi IP, e sarebbe molto più facile per me configurare l'intera rete, ma non sono sicuro se questo sia possibile con htaccess.
Supporto WPBeginner
Se tutti gli indirizzi IP sono su una rete, puoi usare un indirizzo IP parziale, ma raccomanderemmo comunque un indirizzo IP completo per ogni utente.
Amministratore
Jiří Vaněk
Grazie per la conferma e per il consiglio. Saranno coinvolti più indirizzi IP, quindi non sono sicuro se la manutenzione diventerà complicata, ma comunque apprezzo la tua raccomandazione e la prenderò seriamente in considerazione perché credo che il tuo consiglio sia giustificato. Come puoi vedere, a volte è bene consultare i professionisti.
John
La mia cartella wp-admin non contiene un file .htaccess. Cosa mi manca.
Supporto WPBeginner
Dovresti impostare il tuo FTP o file manager per mostrare i file nascosti se non lo vedi.
Amministratore
Mukund
Come trovare il mio indirizzo IP per nascondere la cartella wp-admin?
Supporto WPBeginner
Ci sono diversi metodi per trovare il tuo IP, uno dei più semplici è usare un sito come supportally.com
Amministratore
Chris
Devi abilitare il modulo authz_groupfile "sudo a2enmod authz_groupfile" e riavviare apache
Rajat Shankhdhar
Non funziona per me. Il codice impedisce l'accesso all'amministratore anche se ho inserito l'IP in una whitelist.
Rostyslav
Dopo questa riga, devi inserire una condizione per il permesso di consentire i file php per evitare conflitti:
allow from all
Solace
Ho provato il metodo di protezione password .htaccess.
Funziona, ma l'ho provato su un sito con Woocommerce, e poi i miei clienti non sono riusciti ad accedere.
Lo dico solo perché sembra che nessuno abbia menzionato che non funziona con i siti che richiedono l'accesso dei clienti!
Miguel
Ciao, grazie per il tutorial. Sfortunatamente, non sono riuscito a far funzionare correttamente questo file .htaccess perché sta negando l'accesso all'unico indirizzo IP che ho incluso, il mio... Sono certo di aver copiato il tuo codice esattamente e ho digitato correttamente il mio IP. Il file .htaccess è stato salvato in: /wp-admin/.htaccess
Mi manca qualcosa? Grazie
Miguel
Devo aggiungere che sto lavorando su un'installazione localhost.
Supporto WPBeginner
Ciao Miguel,
Invece del tuo indirizzo IP, prova ad aggiungere 127.0.0.1
Questo è l'indirizzo IP del tuo localhost. Se l'aggiunta dell'IP da sola non funziona, aggiungi la seguente riga prima del codice sopra:
Require localAmministratore
Pankaj Murthalia
come bloccare l'accesso a wp admin???
Emaan Ali
Ciao ragazzi,
Ho bloccato wp-admin con .htaccess come menzionato in questo articolo. Ma ho un problema: anche il mio file admin-ajax viene limitato sul sito pubblico.
Il mio tema WordPress utilizza gran parte della funzionalità di admin-ajax e ho impostato la limitazione di accesso IP sulla cartella wp-admin, quindi non è accessibile da tutti gli IP.
Qualcuno ha trovato una soluzione per questo? Se sì, per favore condividete.
Grazie in anticipo
Emaan
Len
Ciao, questo sembra davvero utile. Forse potresti aiutarmi. Invece di autorizzare un IP, possiamo consentire l'accesso a paesi specifici nel file .htaccess? Spero tu possa aiutarmi. Grazie mille.
Bridget
Thanks! This was the only solution that worked for me after trying so many
Scotty
Ciao, questo funziona. Ho controllato e sono "vietato" l'accesso da qualsiasi altro computer. Non riesco nemmeno a vedere il pannello di accesso. Tuttavia, ricevo ancora circa 24 tentativi di accesso falliti al giorno da diversi indirizzi IP. Hai qualche idea su come aggirano questo? È una specie di attacco brute force? Grazie, Scott.
Supporto WPBeginner
Sì, molto probabilmente. Assicurati che la password .htaccess sia difficile da indovinare.
Amministratore
Scotty
Grazie. Il tuo sito è stato molto utile. Se hai un momento, forse potresti rispondere a un'altra domanda. Ho seguito i tuoi tutorial e hanno funzionato. Ho bloccato l'accesso alla mia cartella admin con htaccess e ho aggiunto una password in cima. Ho testato e anche se le persone dovessero rompere la password, cosa che non hanno fatto, non avrebbero accesso alla cartella da nessun indirizzo IP tranne il mio. Tuttavia, ricevo ancora circa 12 accessi falliti al giorno. Hai qualche idea su cosa sta succedendo e dove andare per risolverlo? Sono stato hackerato una volta, ma ho ripulito i file dalla mia cartella uploads.
Scotty
NVM: Questa pagina ha risposto alla mia domanda per ora. Ottime informazioni
https://www.wpbeginner.com/wp-tutorials/11-vital-tips-and-hacks-to-protect-your-wordpress-admin-area/
Sehrish
E come consentire l'accesso solo all'amministratore di WordPress? Quale codice scriverò senza alcun IP? Ho solo bisogno di conoscere una funzione generica che ottenga informazioni relative all'amministratore. Perché devo limitare i caricamenti del mio plugin da altri utenti. E chiunque utilizzi questo plugin, devo ottenere le sue informazioni di amministratore per limitare i contenuti da altri e consentire solo all'amministratore del sito web.
Praveen
Molte molte grazie signore, ho testato questo sul mio sistema localhost e funziona molto bene.
Kim
Ho provato questo (dopo aver protetto con password la mia directory wp-admin e risolto l'errore di reindirizzamento secondo il tuo altro articolo), ma poi appare un pop-up che chiede un nome utente e una password per il "Controllo accessi all'amministrazione di WordPress". Quale nome utente e password dovrei usare per questo nuovo pop-up? Né il login dell'amministratore di WordPress né il login della directory wp-admin funzionano per questo.
Grazie!
Kim
Oh, credo di aver capito il problema; sembra funzionare finché mi assicuro di avere il codice aggiunto all'inizio.
Jordyn
I have a big problem
I did what you said about creating the .htaccess and putting in the code snippet. It didn’t work so I deleted the .htaccess file and now I can’t login to my dashboard! It’s just a white screen
Please help!!!
Grazie
Staff editoriale
Questo è un risultato piuttosto improbabile. Hai eliminato il file .htaccess nella tua cartella /wp-admin/, corretto?
Amministratore
Jordyn
Tutto quello che ho fatto è stato creare il file nella mia cartella wp-admin e quando non ha funzionato l'ho cancellato dalla cartella wp-admin. Non sono sicuro di cosa sia successo, ma, dopo un folle percorso a ostacoli e molti tentativi a caso, sono riuscito a correggere il problema aggiungendo all'inizio del mio file login.php. Ancora non so cosa sia andato storto o perché quello che ho fatto l'abbia risolto... ma almeno è risolto. Potrei riprovare quando mi sentirò coraggioso.
Jordyn
it erased the code snippet
it was supposed to say “…by adding “” to the top…”
Jordyn
minore di ? ob_start(); ? maggiore di
Peter
All'inizio non sono riuscito a far funzionare la protezione password
https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory
almeno questo funziona.
È interessante che la pagina wp-admin entri in un reindirizzamento infinito quando inserisco un indirizzo IP errato, non il mio.
Il reindirizzamento infinito sembra quindi essere un problema di autorizzazione.
Raheem Khan
Ciao WPB, non credo che funzionerà in Pakistan perché ogni volta che resettiamo o spegniamo il nostro modem DSL, l'indirizzo IP cambia automaticamente. Se hai altri suggerimenti, per favore rispondimi.
Grazie
Staff editoriale
Dovresti consultare il nostro suggerimento per proteggere con password la directory wp-admin.
Amministratore
awan
sì, si può fare su https, è solo .htaccess
wpbeginnerfan
Si può fare sui siti https? Non riesco a farlo funzionare.
andrew
ciao, come fare .htaccess con ip dinamico (non ip statico)
il mio ip cambia sempre xxx.xxx.xxx.12 xxx.xxx.xxx.453 xxx.xxx.xxx.076
per favore aiutami...
Staff editoriale
Allora questa soluzione non fa per te.
Amministratore
Joe
Puoi rafforzare la tua installazione di WordPress tramite la whitelist di .htaccess anche se hai un indirizzo IP dinamico. Puoi creare una whitelist di un intervallo di indirizzi IP utilizzando un intervallo /24 o /16. Sebbene ciò consenta un maggiore accesso rispetto a quando si conosce sempre l'IP che si desidera consentire, vieta comunque l'accesso da quasi l'intero Internet.
Basta aggiungere /24 alla fine della riga allow from per consentire l'intera subnet di classe C (256 IP), oppure aggiungere /16 per consentire l'intera gamma di 65.536. Ad esempio:
allow from xxx.xxx.xxx.0/24
consentirà l'accesso agli indirizzi IP da xxx.xxx.xxx.0 – xxx.xxx.xxx.255. e
allow from xxx.xxx.0.0/16
consentirà l'accesso dagli indirizzi IP da xxx.xxx.0.0 – xxx.xxx.255.255
Kyle
Dici di non fare il file .htaccess del sito root… perché?
Quindi… se volessi avere un sito WordPress ospitato esternamente ma utilizzato come risorsa interna aziendale in modo che solo le persone che utilizzano gli IP della nostra azienda potessero accedervi… se modificassi la cartella .htaccess della cartella principale per consentire solo gli IP del nostro dominio… funzionerebbe allo stesso modo della tua correzione /wp-admin, ma per l'intero sito, corretto?
Staff editoriale
Sì Kyle, il motivo per cui abbiamo detto di non mettere questo codice nel file root è che limiterà anche l'accesso al tuo sito solo a questi IP. Ma se stai cercando di creare un sito a cui solo il personale della tua azienda possa accedere solo dal lavoro, allora vorresti mettere il file .htaccess nella cartella root.
Amministratore
Kyle
Fantastic…thank you for the quick reply!
Bill
Perché limitare solo i GET? Potresti voler limitare anche i POST!
Darrin
Bel consiglio. Lo farò.
Alim Bolar
Posso limitare l'accesso in base ad altri criteri? Ad esempio, ho bisogno che solo il mio laptop acceda a una particolare cartella. Potrei accedervi da qualsiasi luogo, quindi sarebbe difficile specificare un IP poiché il mio accesso a Internet si baserebbe sul DHCP. Esiste un identificatore univoco per ogni macchina o qualcosa del genere che possa essere utilizzato come criterio?