Gli utenti di WordPress alle prime armi possono avere difficoltà ad accedere ai propri account. In questo articolo spiegherò come trovare l’URL di accesso a WordPress e alcune altre cose essenziali che devono essere evidenziate con riguardo alla procedura di login.

Cominciamo dall’inizio.

Preferite guardare la versione video?

L’Importanza del Login di WordPress

Dopo aver installato WordPress, avrete accesso alla dashboard di amministrazione del vostro sito web in cui avete l’opportunità di configurare il sito nel modo in cui vi serve e cambiare alcune cose.

Ciò sarebbe impossibile se non aveste accesso alle pagine di amministrazione. La pagina di login potrebbe impedire a voi e agli altri di accedere al “lato” di amministrazione del vostro sito WordPress.

È praticamente impossibile assumere il pieno controllo del vostro sito/blog se non avete accesso all’area di amministrazione.

Ma dove si trova questa pagina di accesso a WordPress?

Come Trovare l’URL di Login di WordPress

Trovare la pagina di login di WordPress è probabilmente più semplice di quanto vi aspettereste. In una nuova installazione di WordPress, aggiungere /admin/ (es: www.iltuobelsito.com/admin/) o /login/ (es: www.iltuobelsito.com/login/) alla fine dell’URL del vostro sito web vi reindirizzerà alla pagina di accesso.

Di solito, questi due URL dovrebbero portarvi direttamente alla vostra pagina di accesso a WordPress. Nel caso in cui ciò non accada, esiste un altro modo per raggiungere la vostra pagina di accesso: potete aggiungere /wp-login.php alla fine dell’URL, come in questo esempio: www.belsito.com/wp-login.php.

Come Trovare l’URL di Login di WordPress in una Sottodirectory o in un Sottodominio

Tutto questo funziona per un’installazione di WordPress nuova e standard. Ma è possibile che abbiate installato WordPress in una sottodirectory del vostro dominio come www.iltuosito.com/wordpress/ o in un sottodominio di WordPress come blog.iltuosito.com/.

In tal caso, dovrete aggiungere uno dei percorsi sopra indicati subito dopo la barra di chiusura della sottodirectory/sottodominio, cioè il simbolo /, per ottenere qualcosa del genere:

  • www.iltuosito.com/wordpress/login/ o
  • www.iltuosito.com/wordpress/wp-login.php

Indipendentemente da quale dei due utilizzate, ognuno di essi dovrebbe portarvi alla pagina di accesso di WordPress. Se non volete dimenticarvene, aggiungete il vostro URL preferito ai preferiti.

In alternativa, nel modulo di accesso di WordPress è presente un’opzione “Ricordami”, che vi consentirà di rimanere connessi e raggiungere la dashboard di amministrazione per alcuni giorni senza la necessità di accedere nuovamente (in base alla modalità di impostazione dei cookie):

Opzione Ricordami del form di login di WordPress
L’opzione “Ricordami” del form di login di WordPress

L’accesso tramite la pagina di login di WordPress è un task cruciale ma facile da completare. Se sul vostro sito non succede niente di sbagliato e/o dannoso, avrete solo bisogno del vostro indirizzo e-mail, o del nome utente, e della vostra password.

È tutto. Sfortunatamente, i cattivi sono ovunque e il vostro sito potrebbe diventare un bersaglio.

Cosa fare per scoraggiarli?

Quanto meno spostiamo la pagina di login!

How to Change the WordPress Login Page

La vostra pagina di login non dovrebbe essere accessibile a hacker e malintenzionati (cioè i cattivi) perché potrebbero accedere alla pagina di amministrazione del vostro sito e iniziare a fare confusione. Non è una bella esperienza, fidatevi!

Sebbene l’utilizzo di una password lunga, unica e forte può davvero giocare a vostro favore per impedire l’accesso non autorizzato al vostro sito, non sono mai abbastanza le cose che potreste fare quando è in gioco la sicurezza.

Un modo rapido ed efficace per tenere fuori i cattivi è spostare la pagina di accesso di WordPress su un nuovo URL unico. La modifica dell’URL di login tramite il quale voi e i vostri utenti accedete al vostro sito WordPress potrebbe davvero essere d’aiuto quando si tratta di combattere attacchi casuali, hack e attacchi brute force.

Una parola sugli attacchi brute force: questi attacchi sono tentativi di hacking in cui il soggetto malintenzionato tenta di indovinare ripetutamente il nome utente e la password, sfruttando elenchi di nomi utente e password comuni che sono trapelati sul web. Provano migliaia di combinazioni sfruttando script che automatizzano tutti i loro tentativi.

Nel mondo di oggi, c’è un’alta probabilità che la password o il nome utente di WordPress possano trovarsi in uno di questi elenchi trapelati. Se a questo aggiungiamo che l’URL standard di accesso a WordPress è qualcosa di pubblicamente noto, beh, capirete quanto sia facile ottenere l’accesso al vostro sito WordPress per hacker e malintenzionati.

Ecco perché spostare la pagina di login di WordPress su un percorso diverso può esservi di aiuto.

Cambiare la Pagina di Login di WordPress con un Plugin

Il modo più comune e probabilmente più semplice per modificare l’URL della pagina di login di WordPress è utilizzare un plugin gratuito come WPS Hide Login, utilizzato attivamente da oltre 800k utenti.

Il plugin è molto leggero e, cosa più importante, non modifica alcun file del core né aggiunge regole di rewrite, intercetta semplicemente le richieste. È anche compatibile con i plugin BuddyPress, bbPress, Limit Login Attempts, and User Switching.

Il plugin WPS Hide Login
Il plugin WPS Hide Login

Una volta scaricato e attivato, tutto ciò che dovete fare è:

  • Fare clic su WPS Hide Login dalla scheda Impostazioni nella barra laterale di destra.
  • Aggiungere il nuovo percorso dell’URL di accesso nel campo Login URL.
  • Aggiungere un URL di redirect specifico in Redirection URL. Questa pagina si attiverà quando qualcuno tenta di accedere alla pagina standard wp-login.php e alla directory wp-admin quando non è connesso.
  • Salvare le modifiche.
Il plugin WPS Hide Login
Il plugin WPS Hide Login

Un plugin premium alternativo che potete utilizzare per modificare l’URL di login è Perfmatters, sviluppato da uno dei membri del team di Kinsta.

Dato che la modifica dell’URL di accesso a WordPress può aiutarvi a impedire agli aggressori superficiali di accedere al vostro sito, voglio essere chiaro: hacker esperti e professionisti potrebbero potenzialmente andare oltre e scoprire comunque la vostra pagina di login.

Quindi, perché questa soluzione dovrebbe interessarvi? Bene, la sicurezza è un gioco a strati in cui la qualità del vostro hosting ha un ruolo chiave: più strumenti, trucchi, muri mettete in atto, più sarà difficile per i cattivi entrare nel vostro sito e prenderne il controllo.

Modificare il vostro URL di login può anche aiutare a prevenire errori comuni di WordPress come “429 Too Many Requests.” Quest’ultimo di solito viene generato dal server quando l’utente ha inviato un numero eccessivo di richieste in un determinato lasso di tempo (rate-limiting). Questo errore può essere causato da bot o script che colpiscono l’URL di accesso. Raramente è l’utente finale a causare questo errore.

429 too many requests
429 too many requests

Cambiare la Pagina di Login di WordPress Modificando il File .htaccess

Un altra soluzione più tecnica per modificare o nascondere l’URL della pagina di login di WordPress è la modifica del file .htaccess.

Normalmente utilizzato con host cPanel, la funzione principale del file .htaccess è quella di impostare le regole e le impostazioni a livello di sistema. Dal momento che stiamo parlando di nascondere la pagina di accesso, .htaccess può farlo in due modi specifici.

Il primo riguarda la protezione della password della pagina di accesso con un file .htpasswd in modo che chiunque raggiunga la pagina di login sia tenuto a inserire una password prima di accedere. Se siete clienti di Kinsta, noi utilizziamo Nginx, quindi non esiste un file .htaccess.

È possibile utilizzare il nostro strumento htpasswd per proteggere con password l’intero sito, oppure contattare il nostro team di supporto per bloccare solo la pagina di accesso.

.htpasswd prompt di autenticazione.
.htpasswd prompt di autenticazione.

La seconda soluzione è abilitare l’accesso alla vostra pagina di login in base ad un elenco di indirizzi IP attendibili.

Limitare i Tentativi di Accesso

Un altro metodo efficace per aumentare la sicurezza è limitare il numero di tentativi di accesso. Se siete clienti di Kinsta, sappiate che blocchiamo automaticamente gli IP che hanno effettuato in un minuto più di 6 tentativi di accesso non riuscito.

In caso contrario, potete scaricare un plugin gratuito come Limit Login Attempts Reloaded.

Limit Login Attempts Reloaded
Limit Login Attempts Reloaded

Le opzioni del plugin sono piuttosto semplici.

  • Lockout totali: vi dà il numero di hacker che hanno provato ad entrare, ma non ci sono riusciti.
  • Tentativi consentiti: il numero di tentativi che un indirizzo IP può effettuare prima di essere bloccato.

Un valore compreso tra quattro e sei è probabilmente il numero massimo di tentativi più comune. Consente ai real humans che dovrebbero avere accesso di fare un certo numero di errori (perché, dopo tutto, tutti commettiamo errori quando si inseriscono le password), rendersi conto che stanno inserendo la password sbagliata e correggere l’errore.

È importante impostarlo in base ai due punti precedenti, soprattutto se avete frequenti guest blogger o diversi collaboratori responsabili della gestione del vostro sito.

  • Minuti di blocco: per quanto tempo verrà bloccato un indirizzo IP.

Potreste impostarlo su “forever”, ma non va bene per chi commette un vero errore: alla fine dovrete permettergli di ritornare. 20-30 minuti circa è il valore giusto.

  • Aumento blocchi: perché se si tratta di un attacco di forza bruta, è probabile che ritorni.

Questa funzione in pratica dice “guarda, ho visto che sei stato bloccato diverse volte in precedenza, quindi ora ti bloccherò più a lungo” Un giorno può andar bene.

  • Ore prima di nuovi tentativi: quanto tempo deve trascorrere prima che il plugin reimposti tutto e consenta alle persone di riprovare.

Il plugin vi consente anche di gestire le vostre whitelist, blacklist e gli IP affidabili.

Come Risolvere i Problemi più comuni di Accesso a WordPress

Accedere al vostro sito WordPress è facile e veloce. Eppure alcuni utenti – voi? – potrebbero aver incontrato dei problemi durante il tentativo di accesso al proprio sito WordPress. Questi problemi di solito rientrano in uno dei seguenti casi:

  • Problemi relativi alla password.
  • Problemi relativi ai cookie.

Diamo un’occhiata a entrambi e vediamo come affrontarli!

Accedere a WordPress: Password Persa o Dimenticata

Se non riuscite ad accedere, potreste avere un problema con le vostre credenziali di accesso.

Quindi, la prima cosa da fare è controllare che il nome utente e la password digitati siano effettivamente corretti. Capita a tutti, anche se raramente.

Ha funzionato? In caso contrario, si consiglia di cambiare la password di WordPress prima di provare qualcos’altro. Per farlo, cliccate sul link Hai perso la password? proprio sotto il modulo di accesso:

Link
Link “Hai perso la password”

Verrete reindirizzati a una pagina in cui vi verrà chiesto il vostro nome utente/e-mail e vi verrà inviata una nuova password:

Ottenere una nuova password
Ottenere una nuova password

Ripristinare Manualmente la Password di WordPress con phpMyAdmin

Se non funziona, le cose diventano un po’ più complicate in quanto dovrete eseguire un ripristino manuale della password. Attenzione: non fatelo se non vi sentite a vostro agio nel lavorare con i file di database.

La reimpostazione manuale della password di accesso di WordPress può essere effettuata modificando il file della password nel database. Se avete accesso a phpMyAdmin nel vostro host, non dovrebbe essere difficile.

Eseguite sempre il backup del sito prima di apportare modifiche ai file del database, nel caso in cui qualcosa vada storto.

Fatto? Grande!

Passo 1

Ora accedete a phpMyAdmin. Se sei un cliente Kinsta puoi trovare il link di login a phpMyAdmin all’interno del cruscotto MyKinsta.

Ora accedete a phpMyAdmin
Ora accedete a phpMyAdmin

Passo 2

Sul lato sinistro, fate clic sul vostro database. Quindi fate clic sulla tabella denominata wp_users. Fate poi clic su “Modifica”, accanto al login dell’utente che dovete ripristinare.

Modifica utente in phpMyAdmin
Modifica utente in phpMyAdmin

Passo 3

Nella colonna user_pass, inserite una nuova password (è case-sensitive). Nel menu a discesa Funzione, selezionate MD5. Quindi fate clic su “Esegui”.

Reset password in phpMyAdmin
Reset password in phpMyAdmin

Passo 4

Provate la nuova password nella schermata di accesso.

Reimpostare Manualmente la Password di WordPress con WP-CLI

Un altro modo per ripristinare la password di WordPress è utilizzare WP-CLI. WP-CLI è uno strumento da riga di comando per sviluppatori utile a gestire attività comuni (e non così comuni) di un’installazione di WordPress.

Passo 1

Innanzitutto, utilizzate il seguente comando per elencare tutti gli utenti correnti dell’installazione di WordPress.

$ wp user list

Passo 2

Quindi aggiornate la password dell’utente con il seguente comando, con l’ID utente e la nuova password desiderata.

$ wp user update 1 --user_pass=strongpasswordgoeshere

Passo 3

Provate la nuova password nella pagina di login.

Accedere a WordPress: I Cookie

In alcuni casi, potreste non essere in grado di accedere per problemi relativi ai cookie. In questi casi, in genere si verifica il seguente errore:

ERRORE: i cookie sono bloccati o non sono supportati dal browser. È necessario abilitare i cookie per utilizzare WordPress.

Errore cookie bloccati o non supportati
Errore cookie bloccati o non supportati

Il login di WordPress si basa sui cookie. Se sono disabilitati o non funzionano correttamente, è probabile che abbiate problemi nella pagina di login. La prima cosa da verificare è che i cookie siano abilitati nel vostro browser:

Spesso si verifica su siti WordPress che sono stati recentemente migrati e su siti WordPress Multisito. A volte basta aggiornare il browser e provare ad accedere di nuovo per superare questo errore. Potete anche provare a svuotare la cache del browser o ad aprire un altro browser in modalità incognito.

Se nessuno dei tentativi precedenti ha funzionato, potete provare ad aggiungere la riga che segue al vostro file wp-config.php, subito prima di /* Finito, interrompere le modifiche! … */

define('COOKIE_DOMAIN', false);

Se si tratta di un’installazione WordPress multisito, provate a verificare se esiste un file sunrise.php nella cartella /wp-content/ e rinominatelo come sunrise.php.disabled. Si tratta di un file utilizzato da un vecchio metodo di mappatura dei domini.

Da WordPress 4.5, WordPress Multisito non ha più bisogno di un plugin per mappare i domini. Se siete clienti di Kinsta e avete dei dubbi, contattate il nostro team di supporto e chiedete aiuto.

Riepilogo

La vostra pagina di login di WordPress è il gateway che vi consente di accedere al vostro sito. Se non riuscite ad accedere correttamente, siete solo visitatori del sito.

Ecco perché dovreste imparare come raggiungere questa pagina chiave in modo da non perdere tempo ogni volta che dovete accedere al vostro sito WordPress.

Volete aumentare la vostra sicurezza? Cambiate l’URL standard di login di WordPress con uno personalizzato a vostra scelta, e condividete questo URL solo con persone di fiducia! Inoltre, assicurati di controllare questa guida se WordPress continua a disconnetterti.

(Letture consigliate: Come Cambiare l’URL di WordPress)

Matteo Duò

Redattore Capo presso Kinsta e Content Marketing Consultant per sviluppatori di plugin WordPress. Entra in contatto con Matteo su Twitter.