Proteggere il wp-login del tuo wordpress

Ultimamente  si stanno verificando molti attacchi Brute Force  a siti con installazioni di WordPress ed in particolar modo al file wp-login.php . Proteggere il wp-login.php dell’installazione del proprio wordpress è una pratica che aumenta il livello di sicurezza del sito e soprattutto può tornare utile in casi come quelli di attacchi Brute Force, di cui ne abbiamo parlato in un precedente articolo .

Vediamo come attivare una protezione sul proprio sito aggiuntiva rispetto a quelle utilizzabili con plugin ad hoc .

1. Come prima cosa andiamo sul sito htaccesstools.com e inseriamo un’username ed una password nell’apposito form. Potete utilizzare qualsiasi tipo di username e qualsiasi tipo di password, una media robustezza per entrambe sarebbe indicata. Come risultato avremo una stringa che ci verrà utile in uno step successivo, quindi salvatela su un editor di testo.
   ( potete creare quanti utenti volete senza nessun tipo di problema, basterà utilizzare sempre il sito proposto eseguire più volte la procedura e aggiungere una stringa per riga nel file .htpasswd. Vedi punto 3 )
2. Collegatevi in FTP oppure dal vostro pannello di controllo ( se siete clienti Seeoux avrete il cPanel, e potrete accedere da www.vostrodominio.it/cpanel ) ed andate nella vostra /home.
3. Create qui un file con il nome .htpasswd , nel file appena creato inserite la stringa che avete recuperato nel punto 1 . Salvatevi il percorso del file appena creato, ad esempio /home/nomeuser/.htpasswd ( dove nomeuser sarà il vostro nome utente per lo spazio web ) .
4. Spostatevi nella cartella d’installazione del vostro wordpress, prendiamo in esame la directory principale, ovvero la public_html , aprite con un editor il file .htaccess e incollate all’inizio di tale file il seguente codice:

<FilesMatch "wp-login.php$">
AuthName "Login protetto"
AuthType Basic
AuthUserFile /home/nomeuser/.htpasswd
Require valid-user
ErrorDocument 401 /errore.html
</FilesMatch>

A questo punto il wp-login.php del vostro wordpress sarà sicuro. Andnado su www.nomedominio.it/wp-admin o nomedominio.it/wp-login.php ( sostituite nomedominio.it con il vostro vero nome a dominio ) vi  apparirà sul browser una maschera di connessione ( diversa da quella normale di wordpress ) in cui dovrete andare ad inserire i dati inseriti nel punto 1.

Dopo questa autenticazione sarete indirizzati verso il wp-admin normale e classico in cui andrete ad inserire i normali account di accesso della vostra installazione WordPress.

[via]