Come modificare l'URL di accesso di WordPress nel modo giusto

Se hai passato un po' di tempo a costruire, creare e sviluppare sulla piattaforma WordPress, sai che trovare il login predefinito di WordPress è incredibilmente semplice.

Basta aggiungere "/wp-admin" alla fine di qualsiasi sito Web in esecuzione su WordPress e sarai davanti alla porta del sistema di gestione dei contenuti.

Insieme a una password debole e hai appena creato un parco giochi che gli aggressori malintenzionati possono sfruttare liberamente. Secondo l'esperto di sicurezza Sucuri, dei 14.5k siti che hanno controllato, il 22,61% delle iniezioni di malware nel terzo trimestre del 2022 erano massicce campagne di malware dirette alla piattaforma WordPress.

Anche se la modifica dell'URL della pagina di accesso di WordPress non è al 100% infallibile dagli aggressori, è un passaggio in più che puoi fare per renderlo più difficile per loro.

In questo articolo, esaminiamo due metodi comuni per modificare l'URL di accesso e ulteriori misure di sicurezza per aiutare a contrastare gli aggressori. Questi passaggi si applicano alla maggior parte delle installazioni WordPress di hosting condiviso o dedicato, ma fai attenzione alle note speciali relative alle differenze con WordPress gestito da EasyWP

Modifica dell'URL di accesso con il plug-in WPS Hide Login

Se preferisci non modificare i file principali di WordPress, ti consigliamo di provare prima questa opzione. Dei due metodi, questa è di gran lunga l'implementazione più veloce.

Come per molte personalizzazioni per WordPress, esiste un plug-in per personalizzare l'URL di accesso. Con oltre 1 milione di download, il plug-in WPS Hide Login ha oltre 1900 valutazioni a 5 stelle, quindi puoi essere certo che sarà disponibile per gli anni a venire.

Installazione del plugin WPS Hide Login

Per iniziare, vai alla pagina di download ufficiale di WPS Hide Login. Dopo aver scaricato il plug-in, installa e attiva il plug-in seguendo questi passaggi:

1. Nella dashboard di WordPress, trova Plugin > Aggiungi nuovo
2. Fare clic su Carica plug-in
3. Fare clic su Scegli file e selezionare il plug-in di accesso
4. Fare clic sul pulsante Installa ora
5. Quando richiesto, fai clic sul pulsante Attiva plug-in

Configurazione del plug-in Nascondi accesso WPS

1. Successivamente, vai alla sezione Impostazioni > Generale della dashboard di WordPress. Scorri fino alla fine della pagina finché non vedi una sezione chiamata "WPS Hide Login".
2. Questo è il passaggio in cui puoi configurare il tuo URL di accesso. Digita l'URL di accesso WordPress personalizzato nel campo di testo a destra del dominio del tuo sito web. In questo esempio, abbiamo aggiornato l'URL di accesso personalizzato a:

 https://yourwebsite.name/your-new-login-name

3. Questo passaggio è facoltativo, ma puoi anche reindirizzare i visitatori che tentano di visitare l'accesso predefinito di WordPress specificando l'URL nel campo di testo URL di reindirizzamento.

Fai clic su "Salva modifiche" per abilitare il nuovo URL di accesso personalizzato.

Successivamente, verifica il tuo URL di accesso WordPress predefinito per assicurarti che non sia raggiungibile. Nel browser, digita l'URL di accesso predefinito. Per esempio:

 yourwebsitename.com/wp-admin

Questo URL di test dovrebbe portarti a una pagina 404 o all'URL di reindirizzamento se ne hai aggiunto uno durante la fase di configurazione precedente.

Infine, prova il nuovo URL di accesso WordPress personalizzato che hai creato con il plug-in per assicurarti di raggiungere il nuovo URL di accesso.

Il metodo successivo non richiede un plug-in, ma consigliamo di avere familiarità con il file system host.

Modifica dell'URL di accesso senza plug-in

Se preferisci mantenere il tuo sito Web WordPress snello con meno plug-in, questo potrebbe essere il metodo giusto per te.

Prima di iniziare, ti consigliamo vivamente di eseguire un backup del tuo sito Web esistente. La modifica dei file principali di WordPress può rendere rapidamente inutilizzabile il tuo sito web. Vuoi assicurarti che ci sia almeno una forma di backup.

Ci sono quattro passaggi principali per completare questo metodo:

1. Scarica una copia del file wp-login.php
2. Modifica il file wp-login.php duplicato
3. Crea un tema figlio
4. Aggiungi uno snippet di codice al file functions.php del tema figlio

Comprensione del file system di WordPress

Simile a una struttura di cartelle basata su Windows, WordPress ha una propria struttura di cartelle e file. La maggior parte dei siti Web ora utilizza opzioni di hosting condiviso o gestito, quindi, per modificare questi file, in genere è necessario accedere al proprio account host.

A seconda del tuo host, le schermate nelle istruzioni seguenti varieranno, ma i passaggi saranno gli stessi sulla maggior parte delle principali piattaforme di hosting.

Se lavori offline su una workstation, si applicano gli stessi passaggi. Tuttavia, i tuoi file saranno sul tuo disco locale invece che sui server cloud host.

Cominciamo.

1. Scarica una copia del file wp-login.php

Il file wp-login.php è responsabile di indirizzare i visitatori alla pagina di accesso corretta quando digitano l'URL di accesso WordPress predefinito. Si consiglia di eseguire il backup di questa copia prima di modificare l'URL di accesso.

Con l'hosting condiviso tradizionale, accedi al File Manager per il tuo host. Con l'hosting gestito EasyWP, non esiste File Manager . Tuttavia, puoi comunque accedere ai file e alle cartelle per il tuo sito Web tramite SFTP. Ogni host avrà il proprio modo unico di trovare il File Manager. Per trovare le istruzioni specifiche del tuo host, puoi cercare su Google "File Manager per [il tuo nome host]".

Una volta trovato il File Manager, vai alla cartella public_html.

Trova il file wp-login.php. Scarica il file localmente in modo da averne una copia.

Di solito puoi scaricare facendo clic con il pulsante destro del mouse sul file e selezionando l'opzione Download o utilizzando i pulsanti del menu nella parte superiore della schermata File Manager.

Quindi, con la copia offline, crea una copia duplicata del file wp-login.php. Conservare l'originale in una cartella di backup. Modificheremo questa versione duplicata nella prossima sezione.

2. Modifica il file wp-login.php duplicato

Trova il file wp-login.php duplicato sul tuo desktop e aprilo in qualsiasi editor di testo che abbia la funzione trova e sostituisci.

Nell'editor di testo, trova wp-login.php e sostituisci tutte le istanze con il nuovo URL di accesso che desideri utilizzare.

Ad esempio, trova tutte le istanze di wp-login.php e sostituiscile con my-new-login.php, che sarebbe il tuo nuovo URL personalizzato.

Salva le modifiche e rinomina il file in modo che corrisponda al tuo nuovo URL (ad esempio, mio-nuovo-login.php) per identificarlo facilmente in seguito. Questo passaggio non è un requisito per il suo funzionamento, ma consigliato.

Quando si utilizza WordPress gestito da EasyWP, la ridenominazione del file wp-login.php influisce leggermente sia sulla funzionalità di EasyWP Dashboard che sulla funzionalità predefinita di WordPress. Queste interruzioni di funzionalità non sono critiche ma potrebbero richiedere una conoscenza avanzata di WordPress per essere risolte. Se sei relativamente nuovo a questi tipi di modifiche avanzate in WordPress, consulta il nostro centro assistenza o contatta il servizio clienti prima di iniziare il processo di ridenominazione.

Successivamente, se utilizzi un hosting condiviso o un server dedicato, torna al File Manager dell'host e carica questo nuovo file nella cartella public_html.

A questo punto, dovresti avere il nuovo file personalizzato e il file wp-login.php originale nella stessa cartella. Ora puoi eliminare il file wp-login.php dal File Manager poiché è stato creato un backup nel passaggio precedente.

Ricorda che con WordPress gestito da EasyWP, non esiste una cartella public_html. Quando ti connetti tramite SFTP, dovrai accedere direttamente alla cartella home e vedere l'elenco delle cartelle e dei file di WordPress subito dopo aver stabilito la connessione.

In questa cartella dovrebbe trovarsi solo il file di accesso personalizzato. Successivamente, creeremo un tema figlio.

3. Creazione di un tema figlio

Poiché stiamo modificando i file principali di WordPress, quando creiamo un tema figlio, manterrà le modifiche abilitate sul sito nel caso in cui la versione di WordPress venga aggiornata.

Se non crei un tema figlio, puoi comunque aggiornare manualmente l'URL di accesso, ma dovrai ripetere i passaggi con ogni aggiornamento di WordPress che può essere un problema, quindi ti consigliamo di utilizzare un tema figlio.

Innanzitutto, controlla se il tuo tema attuale ha già un tema figlio disponibile. In tal caso, attivalo nella dashboard di WordPress e vai al passaggio 4 delle istruzioni seguenti.

Se un tema figlio non è disponibile, ti consigliamo di creare un tema figlio da zero oppure puoi scaricare il loro esempio e modificare il codice.

Se hai scaricato l'opzione "Esempio Kadence Child Theme" dal link sopra, dovresti avere tre file:

• funzioni.php
• screenshot.png
• style.css

Successivamente, dobbiamo aggiungere un codice personalizzato alla versione figlio del file functions.php in modo che tu possa uscire e reimpostare correttamente la password con il nuovo URL di accesso.

4. Aggiungi uno snippet di codice al file functions.php del tema figlio

Uno dei problemi con la modifica dell'URL di accesso predefinito è che interrompe i flussi di password persa e logout. Possiamo risolvere questo problema aggiungendo un codice personalizzato denominato hook del filtro.

Sul desktop, apri la cartella del tema figlio e trova il file functions.php.

Apri il file nell'editor di testo e aggiungi il codice seguente.

 <?php /** * Enqueue child styles. */ function child_enqueue_styles() { wp_enqueue_style( 'child-theme', get_stylesheet_directory_uri() . '/style.css', array(), 100 ); } // add_action( 'wp_enqueue_scripts', 'child_enqueue_styles' ); // Remove the // from the beginning of this line if you want the child theme style.css file to load on the front end of your site. add_filter( 'logout_url', 'my_logout_page', 10, 2 ); function my_logout_page( $logout_url) { return home_url( '/my-new-login.php'); } add_filter( 'lostpassword_url', 'my_lost_password_page', 10, 2 ); function my_lost_password_page( $lostpassword_url ) { return home_url( '/my-new-login.php?action=lostpassword'); }

Sostituisci le righe nel codice che dice "my-new-login" con il tuo URL personalizzato specifico. Salva le modifiche.

Al termine, il tuo codice dovrebbe essere simile all'immagine qui sotto. Il tuo file functions.php potrebbe avere un numero diverso di righe che è tipico se hai un tema figlio diverso.

Quindi, torna al File Manager e torna a public_html > wp-content > temi > [nome del tuo tema].

Carica l'intera cartella del tema figlio. Se il tuo tema ha già un tema figlio, devi solo apportare le modifiche al codice dall'alto e puoi saltare questo passaggio di caricamento.

Ora dovrebbero esserci le cartelle del tema originale (ad esempio, kadence) e del tema figlio (kadence-child) nella cartella Themes.

Successivamente, vai al tuo nuovo URL di accesso personalizzato (ad es. tuositoweb.com/il-mio-nuovo-accesso.php) e accedi alla dashboard di WordPress.

Passare a Aspetto > Temi

Attiva il tema figlio.

Infine, verifica che il codice hook del filtro function.php funzioni eseguendo il logout da WordPress. Saprai che i passaggi hanno funzionato se vieni reindirizzato alla tua nuova pagina di accesso con URL personalizzato e non ai seguenti URL:

 yourwebsite.com/wp-admin yourwebsite.com/wp-login.php

Ora hai aggiornato con successo il tuo URL di accesso WordPress personalizzato. Nella sezione successiva, forniremo alcuni passaggi attuabili per proteggere ancora di più il tuo sito Web WordPress.

Protezione del tuo sito Web WordPress

Quando si tratta di sicurezza, si tratta di stabilire un equilibrio tra praticità e tranquillità. Prima di bloccare l'intera installazione di WordPress, prendi in considerazione il motivo per cui stai proteggendo i dati.

Se il tuo sito Web è un blog di hobby personale, puoi probabilmente aggiungere una password complessa e chiamarla un giorno. Se tutto il tuo sostentamento è sul sito web, allora vorrai ulteriori livelli di sicurezza.

Ecco tre passaggi attuabili che puoi implementare oggi per aumentare la sicurezza di WordPress.

1. Usa credenziali di accesso forti

Sembra semplice, ma un numero sorprendente di proprietari di siti Web utilizza ancora password non sicure. Consigliamo un mix di 14-16 caratteri maiuscoli e minuscoli (compresi i caratteri speciali).

Per un facile recupero della password, prova a utilizzare un gestore di password per mantenere tutto organizzato.

Assicurati di modificare periodicamente anche le password critiche nel caso in cui le tue credenziali facciano parte di eventuali violazioni dei dati riuscite da parte di servizi che sono stati compromessi.

2. Mantieni aggiornate le installazioni, i plugin e i temi di WordPress

Gli sviluppatori risolvono sempre le vulnerabilità nel loro software. Assicurati di applicare regolarmente questi aggiornamenti nelle voci di menu Temi, Plugin e Aspetto della dashboard di WordPress.

Se disponi di un plug-in che ritieni possa compromettere l'esperienza dell'utente dopo un aggiornamento, esegui un backup del tuo sito Web prima dell'aggiornamento. Fai un rapido controllo dopo l'aggiornamento per assicurarti che tutto sia corretto.

Sarai tranquillo sapendo che è disponibile un backup.

3. Applica il certificato SSL del tuo host

Piattaforme come EasyWP rendono facile iniziare con la sicurezza. Per impostazione predefinita, con i sottodomini gratuiti, il certificato SSL è già installato.

Se sei ospitato su altre piattaforme, controlla i loro articoli della knowledge base o il servizio clienti per trovare le istruzioni su come abilitare il certificato SSL.

I nostri pacchetti EasyWP Turbo e Supersonic includono un certificato SSL gratuito per domini personalizzati. Questi certificati gratuiti devono essere attivati ​​manualmente. L'attivazione è piuttosto semplice, quindi dai un'occhiata alle nostre istruzioni su come attivare un certificato SSL gratuito fornito con Turbo e Supersonic.

Questo semplice passaggio mostrerà la prova di autenticazione per l'identità del sito Web e fornirà una connessione crittografata. Ciò è particolarmente importante se chiedi ai clienti di inserire dati sensibili come i dati della carta di credito.

Aggiorna gli URL di WordPress e dell'indirizzo del sito alle versioni HTTPS. Alcuni host imposteranno per impostazione predefinita queste due impostazioni sulla versione HTTP anche se hai un certificato SSL abilitato.

Domande frequenti

Cosa succede se cambio il tema dopo aver creato un URL di accesso personalizzato?

Se hai utilizzato il metodo plug-in, la modifica dei temi non dovrebbe entrare in conflitto con l'URL di accesso personalizzato.

Se hai modificato manualmente l'URL di accesso personalizzato tramite codice, dovrai aggiornare nuovamente il file functions.php con il nuovo tema.

Assicurati solo di creare un nuovo tema figlio e di caricarlo nel File Manager descritto nel passaggio 3 sopra.

Cosa succede se incontro un messaggio di errore durante l'aggiornamento del codice?

Se incontri un messaggio di errore e non riesci a eseguire il debug, ti consigliamo di eliminare il tema figlio e il file dell'URL di accesso personalizzato che hai creato. Quindi carica i file di backup e riprova.

Se stai sviluppando sulla tua workstation locale, l'ultima versione di WordPress e le versioni precedenti di WordPress possono essere utili se le tue copie di backup non sono disponibili o sono danneggiate.

Per le opzioni di hosting gestito, come EasyWP, ti consigliamo di contattare l'assistenza clienti in quanto possono aiutarti ulteriormente.

In alternativa, puoi anche prendere in considerazione l'utilizzo del metodo plug-in descritto in questo articolo.

Il mio sito web non è più accessibile, cosa devo fare?

Se il tuo sito Web non funziona più, ti consigliamo di eliminare il tema figlio e il file dell'URL di accesso personalizzato che hai creato e di caricare le versioni di backup per riprovare.

Se non funziona, trova e ripristina il backup per l'intero sito web. La maggior parte dei servizi di hosting avrà anche un backup del tuo sito Web se dimentichi di eseguirne il backup.

Collaboratore: David Lin

David Lin è un esperto di marketing in crescita e project manager. Prima di iniziare il suo blog su hellodavelin.com, ha prodotto titoli AAA presso EA, Activation e Microsoft. Attualmente fornisce consulenza SEO per i marchi SaaS.