La protezione dell'accesso all'area amministrativa rappresenta uno dei passi fondamentali per la messa in sicurezza di un sito WordPress.

Nel tutorial Proteggere il backend con htaccess (1) abbiamo mostrato come proteggere l'accesso al backend di un sito WordPress utilizzando una funzione presente sulla maggior parte dei pannelli di controllo messi a disposizione dagli hosting. Prerequisito è l'utilizzo di un server Apache.

In questo tutorial viene spiegato come proteggere l'area amministrativa tramitE procedura manuale. Anche in questo caso può essere eseguito se il sito è su un server Apache.

Dovremo creare un file .htaccess, che inseriremo nella cartella wp-admin, e un file .htpasswd, che conterrà le credenziali di accesso crittografate.

Iniziamo dal file .htpasswd. Per farlo, utilizziamo il generatore di HtPasswd disponibile su htaccesstools.com.

Inseriamo il nome utente e la password con cui proteggere la cartella wp-admin, quindi clicchiamo su Create .htpasswd file.

Viene così creata una riga con le credenziali crittografate. 

Copiamo la riga in un file nel formato .txt, che nominiamo htpasswd.txt.

Carichiamo quindi questo file sul server, preferibilmente al di fuori del percorso pubblico (fuori cioè da public_html). In questo modo il file non sarà accessibile pubblicamente, aumentandone così la sicurezza.

Rinominiamo il file htpasswd.txt in .htpasswd.

A questo punto dobbiamo creare il file .htaccess che richiamerà le credenziali di accesso contenute nel file .htpasswd.

Con un editor di testi (es. NotePad++) creiamo un file nel formato txt e nome htaccess, al cui interno inseriamo i codici sottostanti:

AuthName "AREA RISERVATA" 
AuthType Basic 
AuthUserFile /home/mysite/.htpasswd 
AuthGroupFile /dev/null 
require valid-user

dove al posto di /home/mysite/.htpasswd  inseriamo il percorso del file .htpasswd sul server (in caso di difficoltà nell'individuare il percorso del file è opportuno rivolgersi all'assistenza tecnica dell'hosting).

Carichiamo quindi il file htaccess.txt all'interno della cartella wp-admin, rinominando il file in .htaccess.

Accedendo al backend del sito WordPress (nell'esempio tutorial.ddemo.it/wp-admin) visualizzeremo il pannello di protezione creato con htaccess e htpasswd.

Se visualizziamo invece una pagina di errore, occorre aggiungere nel file .htaccess la seguente riga:

ErrorDocument 401 "Authorisation Required"

Visualizzeremo così regolarmente il pannello di protezione creato con .htaccess.

Solo inserendo le chiavi di accesso giuste l'utente potrà visualizzare la pagina per il login al backend del sito.