La sicurezza sul web è fondamentale. Mai come in questi tempi gli attacchi informatici sono così diffusi, ed è per questo che noi di Tantrahost mettiamo in campo tutte le nostre forze per proteggere gli account dei nostri clienti.
In questa breve guida scopriremo come proteggere una cartella con password: una semplice operazione che ha molteplici implicazioni, ad esempio potremmo usarla per proteggere l’accesso alla bacheca di WordPress, ossia alla cartella /wp-admin. Stesso dicasi per le cartelle delle bacheche degli altri CMS, oppure semplicemente per impedire l’accesso a file preziosi.
La prima cosa da fare è accedere al cPanel e individuare l’icona “Privacy Directory” sotto il menu “File”.
A questo punto è necessario selezionare la cartella da proteggere con password. Supponiamo di voler inibire l’accesso a /wp-admin, pertanto selezionate prima public_html e poi al suo interno troverete wp-admin. Fate clic sul pulsante ‘Modifica’ sulla destra.
Adesso servono 3 passi:
1- abilitare la spunta per “Protezione tramite password per questa directory.”
2- selezionare un nome per la protezione (anche quello di default – che nel 99& dei casi è Protected ‘public_html/wp-admin’, va benissimo)
3- infine fate clic su ‘Salva’.
Se avete fatto tutto bene, riceverete un messaggio di conferma come quello sotto:
Non è ancora finita, poichè occorre impostare il nome utente e la password. Se notate, sotto il messaggio verde di conferma c’è un pulsante ‘indietro’; premendolo tornerete alla schermata precedente, ma stavolta comparirà un semplice modulo da riempire:
Create un nome utente a vostro piacimento, e una password che sia sufficientemente sicura (la barra in basso si riempirà all’aumentare della difficoltà della password; per poter procedere, deve avere un punteggio di sicurezza di almeno 70. Se volete, potete aiutarvi col generatore di password).
Fate clic su ‘Salva’ e riceverete un secondo messaggio di conferma.
La configurazione è terminata: adesso passiamo alla verifica. Proviamo quindi ad accedere alla cartella che abbiamo appena protetto, nell’esempio l’accesso alla bacheca WordPress di un sito web. Accedendo come al solito alla pagina di login, vi comparirà la richiesta di inserire l’username e la password appena creati.
Dopo l’inserimento corretto, potrete quindi accedere come al solito alla pagina di login di WordPress.
Caso particolare
A volte, il tema installato o alcuni plugin richiamano uno o più file contenuti all’interno della cartella /wp-admin. Ciò non dovrebbe accadere, ma purtroppo è un caso più frequente del previsto. In casi come questi, non è possibile effettuare la protezione come appena visto, poichè i normali visitatori del sito potrebbero vedersi richiedere username e password nel bel mezzo della loro sessione di navigazione.
Che fare a questo punto? Se volete continuare a proteggere l’accesso alla bacheca di WordPress, dovrete procedere creando un file .htpasswd e richiamarlo da .htaccess. Vediamo come fare
Passo 1: creare un file .htpasswd
Per creare un file .htpasswd dovrete creare un file di testo in cui essenzialmente ci andrà scritta una sola riga, nel formato seguente:
nome_utente:password_criptata
Ovviamente scrivere una password criptata è fuori dalla nostra portata. Ma ci viene in aiuto questo semplice tool. Basterà generarla e fare copia-incolla della stringa, incollandola su un normale file di testo.
Esso andrà poi caricato sul server via FTP o tramite il file manager di cPanel, e rinominato in .htpasswd (senza estensione, col punto davanti). Mettete questo file dove volete, consigliamo di metterlo al di fuori della cartella public_html in modo che non sia visibile da web.
Passo 2: richiamarlo da .htaccess
Per richiamare il file .htpasswd appena creato sarà sufficiente inserire queste righe all’interno del file .htaccess
<Files wp-login.php>
AuthUserFile /path/to/.htpasswd
AuthName "Private access"
AuthType Basic
require valid-user
</Files>
Dovete semplicemente specificare il percorso del file .htpasswd, ad esempio /home/vostrousername/.htpasswd se l’avete inserito nella root del vostro account. Naturalmente sostituite vostrousername con il vostro username di cPanel.