Come Trovare il Tuo URL di Accesso a WordPress e Aggiornarlo per la Sicurezza

Password forti e uniche possono aiutare a prevenire l’accesso non autorizzato al sito web WordPress della tua piccola impresa.

Tuttavia, gli aggressori hanno diversi modi astuti per aggirarli.

Proprio come i giovani implacabili che sembrano eludere ogni tattica di sicurezza per bambini che provi, gli attori maliziosi sanno come eseguire attacchi brute-force e trovare porte d’accesso tramite plugin meno sicuri.

E, voilà, sono dentro al tuo sito a rubare dati più velocemente di quanto un bambino possa svuotare ogni cassetto della tua cucina (ossia, incredibilmente veloce).

In altre parole, le password spesso non sono sufficienti per proteggere adeguatamente il tuo sito dagli attacchi.

Fortunatamente, c’è una cosa relativamente semplice che puoi fare per ridurre il rischio che i pirati informatici entrino nel tuo sito: spostare la tua pagina di login di WordPress su un nuovo URL. Questo ti metterà in una posizione migliore per difenderti da attacchi e violazioni.

Se non sei molto familiare con WordPress, probabilmente questo non avrà molto senso. Ecco perché questo articolo esaminerà più da vicino perché dovresti considerare di cambiare il tuo URL di accesso WordPress, come trovare il tuo URL di accesso se l’hai perso e, cosa più importante — alcuni modi per modificarlo per aumentare la sicurezza.

E se rimani con noi fino alla fine, includeremo anche un elenco di suggerimenti aggiuntivi per rafforzare ulteriormente la sicurezza del tuo WordPress.

Assicuriamoci la sicurezza!

Perché Dovresti Aggiornare Un URL di Login WordPress Predefinito

Poiché WordPress non nasconde la tua pagina di login, qualsiasi utente può trovarla a patto che conosca la struttura degli URL di WordPress. Considerando che WordPress alimenta quasi la metà di tutti i siti web su internet, è ragionevole assumere che molte persone — specialmente quelle che sanno come sfruttare i siti web — siano molto familiari con il layout comune di WordPress.

La struttura predefinita per una pagina di accesso di solito appare così:

https://example.com/wp-login.php

Questo significa che quando un utente inserisce l’URL del tuo sito web dove dice “https://example.com/,” dovrebbe vedere una pagina nel loro browser che li invita a effettuare l’accesso al backend del tuo sito web:

Certo, la maggior parte dei violatori probabilmente non avrà le credenziali di accesso necessarie. Tuttavia, questa struttura è ancora rischiosa se la tua password è comune, debole o facile da indovinare. Qualcosa come 123456.

In poche parole, è una soluzione semplice per una vulnerabilità non necessaria.

Per semplicità, molte persone preferiscono mantenere questa struttura predefinita di wp-login per accedere a WordPress, ma lasciarla così com’è facilita l’accesso dei hacker alla tua area di accesso, il che significa fare metà del loro lavoro per loro.

WPScan ha rilevato che nel 2024 WordPress presenta più di 50.000 vulnerabilità. La stragrande maggioranza si trova nei plugin di WordPress, e ogni anno se ne scoprono centinaia, se non migliaia, in più.

In breve, è il momento di rafforzare la sicurezza del tuo sito web.

Un modo fattibile per farlo è cambiare il tuo URL di login di WordPress per prevenire accessi non autorizzati al tuo sito e ridurre il rischio di attacchi brute-force.

Ecco Come Trovare la Pagina di Accesso Predefinita di WordPress

Guarda, sappiamo che hai molto da fare. Quando hai un milione di cose da gestire come proprietario di una piccola impresa, perdere di vista l’URL di accesso di WordPress non è raro.

Come abbiamo menzionato nella sezione precedente, WordPress utilizza una struttura standard di link per l’accesso che somiglia a qualcosa del genere:

https://example.com/wp-login.php

Quindi, tutto quello che devi fare è aggiungere il suffisso (questa parte: wp-login.php) al tuo dominio, e dovresti arrivare alla tua pagina di login.

Puoi anche trovare la tua pagina di accesso provando ad accedere alla tua dashboard di WordPress mentre sei disconnesso. Inserisci semplicemente “yourwebsite.com/admin” o “yourwebsite.com/login” nella barra di ricerca e dovresti arrivare alla stessa pagina di login.

Non funziona? Non preoccuparti.

Alcuni host web modificano automaticamente la tua pagina di login di WordPress per motivi di sicurezza. Quindi potresti già avere un URL di login personalizzato. Se è così, ti mostreremo come trovarlo proprio ora.

URL Di Login Personalizzato? Ecco Come Trovarlo

Se il tuo provider di hosting ha cambiato il tuo link di accesso, puoi di solito trovarlo all’interno del pannello di controllo dopo aver effettuato l’accesso al tuo account di hosting.

Tuttavia, se non riesci a identificare il tuo URL di accesso personalizzato lì, puoi comunque trovarlo manualmente connettendoti al tuo sito utilizzando un client SFTP come FileZilla.

Potresti essere in grado di trovare le credenziali per farlo nel tuo account di hosting o chiedere al tuo provider di hosting per i dettagli.

Dopo aver installato il client e aver effettuato la connessione con quelle credenziali, dovresti arrivare su una pagina che assomiglia a qualcosa del genere:

Trova la cartella radice denominata public_html (puoi vederla sopra sul lato destro dello schermo) e clicca per localizzare il file wp-config.php. Se non riesci a trovarla come public_html, potrebbe essere elencata come il nome del tuo dominio.

Apri questo file sul tuo computer utilizzando un editor di testo come Visual Studio Code. È meglio usare un’opzione che offre uno strumento di ricerca e sostituzione. Utilizza quello strumento per trovare una stringa di codice contenente site_url — questo ti indirizzerà al tuo URL di login personalizzato.

Boom, l’hai trovato! Ora che abbiamo chiarito, aggiorniamo questo URL per una maggiore sicurezza.

Due Strategie Per Cambiare L’URL Di Login Di WordPress

Ora che sai dove trovare l’URL di login di WordPress, vediamo due modi facili per modificarlo.

Metodo 1: Aggiorna il Tuo URL di Accesso WordPress Con un Plugin

Il modo più semplice per cambiare il tuo URL di login è utilizzando un plugin WordPress. Fortunatamente, ce ne sono molti disponibili per facilitare questo.

WPS Hide Login è un’ottima opzione poiché è leggero e ti permette di cambiare in modo sicuro la tua pagina di accesso admin di WordPress in qualsiasi cosa tu desideri. Ancora meglio, WPS Hide Login impedisce anche a tutti gli utenti disconnessi l’accesso alla directory wp-admin e a wp-login.php.

Per iniziare, devi installare e attivare il plugin accedendo alla tua area di amministrazione di WordPress. Clicca su Plugins > Aggiungi Nuovo Plugin.

Cerca “WPS Hide Login” e clicca sul pulsante Installa Ora. Rimani su questa pagina fino al completamento dell’installazione, poi utilizza il pulsante Attiva.

Una volta attivato, nella barra laterale della tua amministrazione di WordPress, vai su Impostazioni > WPS Hide Login.

Vedrai che puoi creare un nuovo URL di login. Digita ciò che preferisci e clicca su Salva Modifiche.

È così semplice.

Tieni presente che una volta attivato questo plugin e apportate le modifiche, utilizzare il nuovo URL sarà l’unico modo per accedere alla schermata di login del tuo sito.

Quindi non perdere questo URL. E non condividerlo pubblicamente o con chi non ne ha assolutamente bisogno!

Inoltre, ricorda che il tuo sito tornerà a utilizzare wp-admin e wp-login.php se disattivi questo plugin.

Metodo 2: Aggiorna Il Tuo URL Di Login WordPress Modificando Il Tuo File wp-login.php

Questo secondo metodo è un po’ più complicato e probabilmente più adatto per utenti esperti. Pertanto, prima di iniziare con i passaggi seguenti, è meglio fare un backup aggiornato di WordPress del tuo sito nel caso in cui qualcosa vada storto.

È anche importante sapere che le tue modifiche potrebbero tornare alle impostazioni precedenti quando aggiorni il tuo tema. Se vuoi evitare questo problema, impara come usare un tema child WordPress.

Ora, immergiamoci.

Dovrai accedere ai file del tuo sito, proprio come abbiamo fatto in precedenza quando cercavamo il tuo URL di accesso personalizzato. Potrai farlo tramite il pannello di amministrazione del tuo host di siti web o tramite SFTP.

Se è quest’ultimo, usa le tue credenziali per connetterti al tuo sito tramite il tuo client SFTP preferito e, di nuovo, trova il file public_html (potrebbe essere elencato anche come il nome del tuo dominio.) All’interno, cerca la cartella wp-login.php. Il codice dietro la pagina di login del tuo sito si trova qui.

Apri di nuovo il file usando il tuo editor di testo.

Utilizza lo strumento di ricerca per trovare ogni istanza di wp_login_url, che avrà un aspetto simile a questo:

Le stringhe successive a wp_login_url conterranno il tuo attuale URL di accesso. Modifica ciascuna con il nuovo URL di accesso che desideri utilizzare.

Ricorda, puoi mantenerlo semplice purché sia originale (e diverso dal predefinito). Ad esempio, potresti preferire qualcosa come “access.php” o “wp-new-login”.

Una volta soddisfatto delle tue modifiche, salvale e chiudi l’editor. Poi, rinomina il file con il nuovo URL che hai scelto (come “access.php”).

Nota: Puoi tecnicamente dare al file il nome che preferisci, ma è più facile tracciarlo e ricordarlo se lo nomini come il nuovo URL che intendi utilizzare.

Trascina il file dal tuo desktop nel file public_html .

Ora, puoi caricare il nuovo file nella tua directory root utilizzando il tuo client FTP o il gestore file del tuo host web. Ti mostreremo come fare ciò utilizzando il hook filtro “login_url” di WordPress.

Inizia navigando in wp-content > themes, seleziona il tuo tema attivo e apri il file functions.php (preferibilmente sotto un tema child.) Questo indica a WordPress dove si trova il nuovo file di login “lives.”

Qui, puoi incollare la seguente linea di codice nel file:

/*
*Cambia l'URL del file di login di WP usando il hook del filtro “login_url”
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}

Sostituisci wp-your-new-login-file-name con il nome del file che hai appena creato. Poi, salva le modifiche e testa il tuo nuovo accesso.

Dovrai digitare il dominio del tuo sito con la tua nuova URL di accesso alla fine.

Ad esempio: “https://example.com/access.php.”

Se riesci ad accedere alla pagina di login del tuo sito WordPress, ha funzionato!

E ora, puoi eliminare il file originale wp-login.php, perché il nuovo file che hai aggiunto lo ha sostituito.

Qualcosa da ricordare – una volta aggiornata la tua pagina di accesso, è necessario aggiornare le pagine che fanno riferimento al file wp-login.php che abbiamo appena eliminato. Specificamente, devi aggiornare il filtro logout_url e il filtro lostpassword_url .

4 Ulteriori Modi Per Rendere Sicuro Il Processo Di Login Di WordPress

Modificare l’URL di accesso di WordPress è ottimo per aumentare la sicurezza del tuo sito. Tuttavia, non è tutto ciò che puoi fare.

Ecco alcuni modi aggiuntivi per rendere ancora più sicuro il processo di login di WordPress:

1. Limita i Tentativi di Accesso

Quando limiti i tentativi di accesso, puoi fermare gli hacker e i bot che cercano di accedere al tuo sito provando centinaia di nomi utente e password. In altre parole, un attacco brute-force.

Il modo più semplice per farlo è utilizzare un plugin come Limit Login Attempts Reloaded.

Questo plugin inizia a funzionare non appena viene attivato sul tuo sito. Per impostazione predefinita, gli utenti hanno quattro tentativi per accedere prima di essere bloccati su WordPress.

Tuttavia, puoi giocare con le impostazioni, modificando il numero di tentativi, la durata dei blocchi e altro ancora. La dashboard di amministrazione del plugin può mostrarti quanti attacchi brute-force sono stati bloccati dal plugin.

E nella scheda “Log”, puoi anche bloccare manualmente indirizzi IP specifici.

2. Implementa l’Autenticazione a Due Fattori (2FA)

2FA è una delle funzionalità di sicurezza più utilizzate dagli utenti di WordPress.

In questo processo, gli utenti devono inviare più che le sole credenziali di accesso. Prima di effettuare l’accesso, gli utenti devono anche generare una seconda credenziale. Questa è spesso un codice inviato tramite messaggio di testo, email o un’app.

Poiché i bot e gli hacker non sono in grado di produrre la seconda credenziale richiesta, questo è un ottimo modo per prevenire l’accesso non autorizzato al tuo sito. Uno dei migliori modi per aggiungere questa funzionalità al tuo sito è utilizzare un plugin come miniOrange.

Una volta attivato, vai al nuovo collegamento miniOrange a due fattori nella barra laterale di amministrazione di WordPress > Il Mio Account.

Qui, dovrai registrarti per un account. Poi, riceverai un codice che ti permetterà di verificare la tua email.

Successivamente, ti consigliamo di seguire l’utile “Setup Wizard” del plugin per assicurarti di avere il 2FA completamente configurato per chiunque utilizzi il tuo sito.

3. Usa CAPTCHA

CAPTCHA o reCAPTCHA di Google offre un ulteriore livello di sicurezza per il tuo sito web.

Tipicamente, è utilizzato per controllare l’accesso a pagine sensibili. Cosa c’è di più? Questo può impedire ai bot di creare spam o accedere a informazioni personali sul tuo sito web tramite moduli d’ordine o moduli di accesso.

Anche in questo caso, un plugin è il modo più semplice per attivare questa funzionalità sul tuo sito. Nella nostra guida a reCAPTCHA, ti spieghiamo come metterlo in funzione tramite un plugin in soli sei passi.

Se preferisci farlo manualmente, anche questa è un’opzione!

4. Imporre Password Forti

Certo, cambiare l’URL di login per il tuo sito WordPress è un’ottima idea, così non usi il suffisso “admin” facilmente indovinabile. Tuttavia, i tuoi sforzi sono sprecati se continui a usare password deboli o ripetute che mettono il tuo account a maggior rischio di attacco.

Solo il 13% delle persone utilizza un generatore di password per creare frasi uniche e altamente sicure per diversi siti web. La maggior parte invece utilizza numeri e parole che hanno un significato personale, rendendoli più ovvi per gli hacker.

Ti consigliamo di utilizzare Solid Security, un plugin di WordPress che può incoraggiare gli utenti a utilizzare password sicure. Se sei preoccupato che una password possa essere stata compromessa in una violazione dei dati, puoi anche utilizzare Passwords Evolved, che invia un avviso se le password degli utenti sono compromesse

Adesso, è meglio reimpostare la tua password su WordPress se è riutilizzata o facilmente indovinabile. In futuro, opta per password lunghe con lettere maiuscole e minuscole combinate con numeri e caratteri speciali. Ti consigliamo anche di usare un gestore di password come 1Password per una maggiore tranquillità.

Inoltre, è importante incoraggiare l’uso di password sicure da parte degli utenti che hanno accesso al tuo sito. Puoi chiarire questo nell’email di benvenuto che gli utenti ricevono al momento della registrazione al tuo sito.

Bonus: Altri Consigli per Incrementare la Sicurezza di WordPress

Come il sistema di gestione dei contenuti (CMS) più popolare sul mercato, WordPress è comprensibilmente anche uno dei più frequentemente attaccati.

Non diciamo questo per spaventarti e farti desistere dall’usarlo, ma solo per renderti consapevole dell’importanza di proteggere il tuo sito WordPress su tutti i fronti.

Per una sicurezza complessiva oltre la fase di login, ti consigliamo un altro potente plugin per automatizzare il processo: Jetpack.

Assicurarti che il tuo certificato SSL/TLS sia aggiornato è il modo migliore per garantire che i dati importanti del tuo sito e degli utenti siano criptati. Questo spesso ha un impatto positivo anche sull’ottimizzazione per i motori di ricerca (SEO) del tuo sito web.

Impara a usare il plugin WordPress Really Simple SSL qui.

Sei pronto a immergerti ancora più a fondo nella sicurezza di WordPress? Scopri la nostra guida su Tutto ciò che devi sapere sulla sicurezza di WordPress per scoprire altri metodi per rafforzare la sicurezza del tuo sito.

Crea Un’Impresa Impenetrabile Con Il Miglior Host WordPress

Un ultimo, ma eccellente modo per rafforzare definitivamente la sicurezza del tuo WordPress?

Collaborare con un host web esperto e impegnato.

Da DreamHost, offriamo una gamma di soluzioni adatte a tutti i tipi di utenti, siti web e necessità di sicurezza.

I nostri pacchetti di hosting WordPress gestito sono ottimi per i proprietari e gestori di piccole imprese che preferiscono un approccio senza pensieri, e le nostre opzioni di hosting VPS gestito sono ideali quando sei pronto per crescere.

Esplora tutti i nostri piani di hosting per scegliere quello più adatto a te! E mentre ci sei, dai un’occhiata a DreamCare per ottenere monitoraggio della sicurezza, reportistica e manutenzione professionale, così puoi spuntarla dalla tua lista di cose da fare per l’azienda.

Questa pagina contiene link di affiliazione. Ciò significa che potremmo guadagnare una commissione se acquisti servizi tramite il nostro link senza alcun costo aggiuntivo per te.