Sicurezza WordPress – proteggiamo wp-login.php con .Htaccess

Posted on gennaio 14, 2016 by TradenetService in Blog, Notizie In Evidenza, Wordpress

wp-login.php è uno dei files preferiti da hacker, bot e sistemi di violazione in quanto, se non sufficientemente protetto, può essere bersaglio di massicci attacchi password, ddos e di altro tipo.
Solitamente non controlliamo il LOG, generato dal nostro Webserver, per verificare eventuali anomalie …. ma se lo facessimo potremmo vedere che questo file è, spesso, vittima di POST, ovvero di tentati accessi con utente e password.
Ecco un esempio di “attacco” che ha mandato in “crisi” il mio server web qualche tempo fa:

2015-10-01 20:26:53 **.**.**.** POST /wp-login.php X-ARR-CACHE-HIT=0&X-ARR-LOG-ID=07e9de14-210b-4f32-bbca-af17d6918797 80 – 173.245.52.138 – – 302 0 0 390
2015-10-01 20:26:53 **.**.**.** POST /wp-login.php X-ARR-CACHE-HIT=0&X-ARR-LOG-ID=f746e8ea-9a94-4ee8-aae5-a956ef4298c0 80 – 173.245.52.138 – – 302 0 0 358
2015-10-01 20:26:53 **.**.**.** POST /wp-login.php X-ARR-CACHE-HIT=0&X-ARR-LOG-ID=e0e32197-369c-4b26-bcbe-f29cf9dfa00c 80 – 173.245.52.138 – – 302 0 0 374

I POST su /wp-login.php erano così veloci che è stato necessario “disabilitare” il sito web per un pò di tempo, al fine di salvaguardare il webserver.

Ecco come proteggere /wp-login.php utilizzando .htaccess e .htpasswd:
Colleghiamoci al sito web htpasswd-generator/ e creiamo il nostro utente e la nostra password.
La stringa che verrà “restituita” dal sito web dovrà essere “copiata” e incollata nel nostro .htpasswd.
Adesso aggiungiamo questa istruzione alla fine del nostro file .htaccess

<FilesMatch "wp-login.php">
AuthName "Member Only"
AuthType Basic
AuthUserFile /home/andrea/w3x.it/.htpasswd
require valid-user
</FilesMatch>

questo sarà sufficiente a proteggere il nostro files con utente e password.
In questo modo potremo accedere alla /WP-Admin del nostro sito web da qualsiasi indirizzo IP.
Una guida più approfondita su come proteggere i file con .htaccess può essere visionata QUI.

Seguici su :

Potrebbero interessarti anche:

Per maggiori informazioni, per suggerimenti e consulenza contatta la nostra Web Agency.
Il nostro staff di professionisti sarà lieto di fornire tutte le informazioni ed i costi riguardanti il servizio.

Oppure, se preferisci, CONTATTACI attravero il modulo presente in questa pagina:

Fonti : Sicurezza WordPress, Sicurezza WordPress wp-login.php, Sicurezza WordPress area amministrazione, Attacco ddos su wp-login.php Sicurezza WordPress, Attacco ddos su wp-login.php Sicurezza WordPress, Sicurezza WordPress, Sicurezza WordPress area amministrazione, Sicurezza WordPress wp-login.php, Wordpress Assistenza a Firenze, Sviluppatori WordPress Firenze