La sicurezza WordPress può essere accresciuta esponenzialmente mediante la protezione della directory wp-admin e della dashboard attraverso un file .htaccess. Tale procedura molto spesso si rivela fondamentale per la sicurezza di un blog o di un sito web.
Aggiungere un'ulteriore livello di sicurezza lato server è importante al fine di ridurre la vulnerabilità a cui è esposto il proprio sito. In tal modo le possibilità di accesso mediante brute-force-attack vengono ridotte in modo significativo.
In questo articolo spiegheremo come aggiungere manualmente questo ulteriore livello di sicurezza implementando l'autenticazione HTTP.
Contenuto articolo
Creare un file di password per WordPress
Per proteggere con password l'area di amministrazione di WordPress sarà necessario creare un file .htpasswd di Apache. Il file .htpasswd è un file contenete stringhe di testo con un nome utente e una password che il server web utilizzerà per autenticare gli utenti. È possibile creare tale file utilizzando un generatore di file di password Apache online oppure attraverso la linea di comando Linux:
# htpasswd -c /path/to/.htpasswd nomeutente
Creare un file .htaccess per Apache
Una volta creato un file .htpasswd bisognerà creare un file .htaccess che andrà caricato nella directory wp-admin dell'installazione di WordPress.
Se non è presente alcun file .htaccess nella directory wp-admin del tuo sito Web, devi crearne uno nuovo. Se esiste già un file .htaccess, crea una copia di backup e modifica quello esistente.
Dopo aver creato il nuovo file, aggiungi il seguente contenuto al file .htaccess:
# enable basic authentication
AuthType Basic
# this text is displayed in the login dialog
AuthName “Restricted Area”
# The absolute path of the Apache htpasswd file. You should edit this
AuthUserFile /path/to/.htpasswd
# Allows any user in the .htpasswd file to access the directory
require valid-user
Salvare il file e caricarlo nella directory wp-admin di WordPress. Una volta impostato, chiunque tenti di accedere a http: // [tuodominio.com] / wp-admin oppure cerca di accedere alla dashboard di WordPress dovrà autenticarsi con il server Web Apache prima di poter accedere alla dashboard di WordPress. Di seguito è riportato uno screenshot della finestra di dialogo di autenticazione HTTP.
Risoluzione dei problemi di autenticazione
Se dopo l'implementazione dell'autenticazione si tenta di accedere alla directory wp-admin e si riceve un errore HTTP 500 (errore interno del server) il problema di solito è riconducibile ad un'errato percorso del file della password specificato nella direttiva AuthUserFile. Tale percorso deve necessariamente essere il percorso assoluto completo a partire dalla radice del server.
Consentire le funzionalità Ajax sul front-end
Alcuni plugin di WordPress utilizzano la funzionalità Ajax di WordPress. Ciò significa che tali plugin potrebbero aver bisogno di accedere al file admin-ajax.php che si trova nella directory wp-admin. Per consentire l'accesso anonimo a tale file che consente il funzionamento dei plugin di WordPress aggiungere quanto segue al file .htaccess:
Lascia un commento