Per impostazione predefinita, ogni installazione di WordPress ha due URL di login: <dominio>/wp-admin.php e <dominio>/wp-login.php. Anche se perfettamente funzionali, ci sono due buone ragioni per cui potreste voler cambiare questi WordPress login URL.

La prima e più importante è la sicurezza. La seconda è che ti dà la possibilità di ridisegnare l’esperienza di login per gli utenti del tuo sito.

In questo articolo affronterò questi due punti e ti mostrerò come creare un WordPress login URL personalizzato.

Perché cambiare il WordPress login URL?

Come ho detto sopra, ci sono alcuni problemi di sicurezza che possono derivare dall’avere la pagina di login aperta al pubblico. Un rischio in particolare è da tenere sotto controllo, gli attacchi di forza bruta.

A causa della massiccia presenza di WordPress nel web, questi tipi di attacchi stanno diventando sempre più comuni. Uno dei motivi per cui è così semplice compiere un attacco di quel tipo è che la stragrande maggioranza degli utenti mantiene /wp-admin come endpoint di accesso.

Accessi e password

Probabilmente riusciranno ad entrare! Almeno finché ci si affida a pratiche di sicurezza scadenti.

Le persone generalmente non prendono sul serio la sicurezza e usano gli stessi nomi utente e password più e più volte. NordPass, una compagnia che fornisce un servizio di password manager, pubblica ogni anno la lista delle password più comuni.

Anche solo leggere le prime righe fa cadere le braccia. Il numero di persone che usa come password “123456” supera i 2,5 milioni. Non c’è da stupirsi che i siti siano poco sicuri, se anche per la password il trend è quello di usare meno risorse possibili. Quel che è peggio è che la maggior parte di queste password sono usate in combinazione con il più cliché dei cliché, il nome utente admin.

Le tecniche di exploit della password è teoricamente molto semplice: viene provata ogni combinazione di caratteri, finché inevitabilmente si trova quella corretta. Non importa quale sia il nome utente, se si può arrivare ai campi di inserimento delle credenziali, è solo una questione di tempo.

Trick: Io ti consiglio di usare non solo un sistema di password manager, ma anche applicare l’autenticazione a due fattori per rendere il tuo login teoricamente inattaccabile. Potresti anche aggiungere una domanda di sicurezza al login, ma poi entrare nel sito sembrerà la stessa cosa che entrare a Fort Knox.

Se questo non è un motivo sufficiente per cambiare il WordPress login URL non so cosa possa esserlo.

Cambiare l’URL senza usare un plugin

Non farlo. Usa un plugin.

Può sembrare stupido, ma cambiare il WordPress login URL senza un plugin non è l’idea migliore. Puoi farlo, ma non dovresti.

Quando cambi completamente l’URL di login di WordPress senza un plugin, stai modificando i file del Core di WP, e questo è contro le best practice e sconsigliatiussimo.

C’è una documentazione nel Codex di wordpress.org sulla creazione di una pagina di login completamente nuova usando hooks per mettere i campi di login in isolamento. Ma c’è una ragione per cui non ne includono uno per cambiarlo completamente.

Normalmente, suggerisco di fare tutto quello che puoi senza un plugin. Si tende a risparmiare un po’ di memoria del server, processi, larghezza di banda e velocità di risposta. Inoltre può insegnarti molto su come funziona il CMS.

Questa volta, però, suggerisco un plugin senza pensarci due volte.

Usare un plugin per cambiare il WordPress login URL

Il modo migliore e più sicuro per cambiare l’URL di login di WordPress è quello di utilizzare un plugin. Ce ne sono alcuni nei repository, ma l’opzione più leggera è WPS Hide Login. È di gran lunga il migliore per il compito. Fa una cosa sola e la fa bene.

Una volta installato e attivato, avrai una nuova opzione sotto le impostazioni generali in cui potrai semplicemente inserire il nuovo slug da usare per la pagina di login. Vai su Impostazioni > Generale o Impostazioni > WPS Hide Login per cambiarlo. Entrambi ti portano allo stesso posto.

Tutto quello che devi fare è digitare il tuo nuovo URL di accesso e premere il pulsante Save Changes. Nota che il plugin impedisce anche l’accesso a wp-login.php e alla directory wp-admin alle persone non connesse. In altre parole, puoi accedervi se sei connesso. Altrimenti si ottiene un errore 404 o si viene rediretti su una pagina a tua scelta.

Un paio di cose da tenere in mente

La prima cosa da sapere è che nel momento in cui attivi questo plugin, non avrai accesso alle vecchie schermate di login. Per impostazione predefinita, WPS Hide Login ti porterà a /login per l’accesso. Questo avverrà immediatamente dopo l’attivazione, anche prima che tu vada nelle impostazioni per personalizzarlo da solo. Ricordatelo, e se hai cambiato l’URL, ricorda anche questo. Altrimenti, avrai dei problemi per l’accesso.

Dopo tutto, stai cercando di rendere le cose più facili per il tuo team/clienti e più difficili per gli hacker. Non vuoi chiuderti fuori dal tuo stesso sito.

La seconda cosa è che quando e se disattiverai il plugin, il sito tornerà immediatamente ad usare wp-admin e wp-login.php come WordPress login URL per gli utenti.

Conclusioni

Mentre l’intero concetto di cambiare uno degli elementi fondamentali di WordPress può essere scoraggiante. Io spero che tu abbia visto che tutto ciò che serve sono pochi click grazie allo sforzo di alcuni sviluppatori.

Come ho detto sopra, è del tutto possibile cambiare WordPress login URL senza un plugin, ma non è davvero una buona pratica. Ci sono troppi fattori all’interno dei file del Core WP da prendere in considerazione e ogni volta che si deve arrivare a cambiare quelli così come il database, affidarsi a un plugin è sicuramente la scommessa più sicura.

Per rendere ancora più sicuro il tuo sito, puoi seguire la guida che trovi qui sul sito, nella quale tratto molti altri aspetti legati alla sicurezza del tuo portale WordPress.