In questa guida descriverò il metodo definitivo per bloccare la pagina di login ai bot esterni che tentano di effettuare l’accesso ad un sito creato con WordPress.
Utilizzando CloudFlare e impostando un blocco specifico per i software maligni e bot per la pagina di login di default WordPress, ovvero wp-login.php.
La procedura è valida per qualsiasi altra pagina del sito, e volendo anche per l’intero sito, ma in quest’ultimo caso lo sconsiglierei per evitare di bloccare i bot necessari (Google ad esempio).
Consiglio inoltre di leggere e mettere in pratica la guida precedente su come limitare il numero di tentativi di accesso al sito
Procedura
- Accedere al pannello amministratore CloudFlare del proprio sito;
- Nella barra in alto selezionare Firewall;
- Selezionare Firewall Rules tra gli strumenti;
- Ora cliccare su Create a Firewall rules…;
Nella nuova schermata bisogna creare una regola “ad hoc” per il nostro scopo, ovvero bloccare l’accesso alla pagina wp-login.php ai bot.
Compilare i seguenti campi in questo modo:
- Nome della regola: sceglierne uno qualiasi;
- Field: URI Path;
- Operator: Contains;
- Value: wp-login.php
- Then: Scegliere uno di tipo Challenge:
- JS Challenge valuterà il visitatore/utente con un sistema automatico di pre-caricamento della pagina di 5 secondi, prima di reindirizzare gli utenti veri alla pagina di accesso. (azione automatica)
- Challenge (CAPTCHA) reindirizzera tutti gli utenti in una pagina con un CAPTCHA, per poi tornare sulla pagina di login. (azione manuale)
- Ora salvare la regola e pubblicarla;
N.B. non verrà impostato un vero e proprio blocco alla pagina di login, perché la regola sarà attiva su tutti gli utenti, anche noi stessi. Una challenge andrà più che bene.
Da questo momento la pagina di login sarà protetta interamente da CloudFlare e impedirà a qualsiasi tipo di bot di accedervi e tentare l’accesso.
Leggi anche: Bloccare uno o più indirizzi IP con CloudFlare
