Perché disabilitare la wp-login.php di WordPress è una falsa sicurezza
12/06/25
4 minuti

Perché disabilitare la wp-login.php di WordPress è una falsa sicurezza

Tabella dei contenuti
Cos’è wp-login.php e perché viene presa di mira Perché disabilitare wp-login.php è inutile (e rischioso) Alternative serie alla disattivazione della wp-login

In molti forum e blog si consiglia di disabilitare la pagina wp-login.php di WordPress per proteggere il sito dagli attacchi brute force o tentativi di accesso indesiderati.

Ma siamo sicuri che sia davvero una pratica efficace?

In realtà, bloccare o rinominare la pagina di login può creare più problemi che vantaggi, soprattutto se fatto senza una strategia chiara. I bot moderni riescono comunque a trovare la pagina di accesso, e spesso si finisce solo per rompere funzionalità legittime del sito o bloccare utenti reali.

In questo articolo vedremo:

  • Perché disabilitare wp-login.php è inutile (o addirittura dannoso)
  • Quali sono i veri rischi di questa pratica
  • E quali alternative più sicure puoi adottare per proteggere il tuo sito WordPress in modo serio e professionale

Cos’è wp-login.php e perché viene presa di mira

La funzione della pagina wp-login in WordPress

La pagina wp-login.php è il punto di accesso predefinito all’area di amministrazione di ogni sito WordPress. Da lì possono entrare:

  • Amministratori
  • Editor
  • Autori
  • Utenti registrati

Senza questa pagina non è possibile effettuare il login, e molte funzioni del sito (come la gestione utenti, plugin, temi, e contenuti) diventano inaccessibili.

📌 È una componente fondamentale del core di WordPress. Qualsiasi modifica diretta o disattivazione della pagina può causare malfunzionamenti critici, soprattutto su siti con funzionalità complesse (es. e-commerce, membership, aree riservate).

Perché gli attacchi brute force la colpiscono

Proprio perché wp-login.php è sempre presente e ha lo stesso nome su ogni sito WordPress, è una porta aperta ben visibile anche per i bot malevoli.

I bot automatizzati cercano:

  • URL del tipo https://iltuosito.it/wp-login.php
  • Combinazioni di username e password comuni
  • Accessi admin senza CAPTCHA o protezione

⚠️ I tentativi di accesso forzato sono spesso invisibili per l’utente, ma consumano risorse del server e mettono in pericolo il sito.

La falsa idea della “sicurezza tramite oscuramento”

Una delle soluzioni che spesso viene suggerita è:

“Nascondi o disattiva wp-login.php così nessuno potrà accedere.”

Peccato che sia una illusione di sicurezza.

I bot non si basano solo su URL standard. Analizzano:

  • Sitemap
  • Percorsi noti nei temi/plugin
  • File robots.txt
  • Pattern di URL generati da plugin come WooCommerce o BuddyPress

📌 Risultato: anche se cambi URL o blocchi wp-login.php, gli attacchi continueranno, e potresti rompere funzionalità legittime del tuo sito.

Perché disabilitare wp-login.php è inutile (e rischioso)

I bot trovano comunque l’URL di login

Anche se rinomini o nascondi l’URL di accesso (ad esempio con plugin che trasformano wp-login.php in /accedi/), i bot più evoluti riescono comunque a individuarlo.

Lo fanno analizzando:

  • I pattern del traffico
  • I redirect interni
  • I file caricati dalle pagine
  • I plugin attivi

📌 Nascondere l’URL non blocca gli attacchi, li rimanda soltanto. E nel frattempo, rischi di non sapere nemmeno che stai subendo tentativi di intrusione.

Puoi bloccare anche utenti legittimi

Se modifichi l’URL di login o disattivi wp-login.php, rischi di creare barriere anche per gli utenti regolari, come:

  • Collaboratori o redattori che non conoscono il nuovo percorso
  • Clienti (se usi WooCommerce o aree riservate)
  • Te stesso, se dimentichi il nuovo URL!

🚨 Il risultato? Un sito poco accessibile, con esperienze utente frustranti e inutili richieste di supporto.

Aggiornamenti e plugin possono smettere di funzionare

Molti plugin e temi si basano sul comportamento standard di WordPress, inclusa la presenza di wp-login.php.

Se la disattivi o la alteri, potresti causare:

  • Errori nei reindirizzamenti post-login
  • Malfunzionamenti nei moduli di login personalizzati
  • Incompatibilità con plugin di sicurezza, e-commerce o CRM
  • Problemi negli aggiornamenti core di WordPress

📌 In pratica: rompi WordPress per cercare di “nascondere” qualcosa che non è nascosto davvero.

Alternative serie alla disattivazione della wp-login

Limitare i tentativi di login (rate limiting)

Uno dei modi migliori per difendersi dagli attacchi brute force è bloccare o rallentare i tentativi multipli di accesso falliti.

Come farlo:

  • Utilizza plugin come Limit Login Attempts Reloaded
  • Imposta un limite massimo (es: 3 tentativi)
  • Blocca temporaneamente l’IP sospetto per X minuti
  • Aggiungi notifiche email in caso di attività anomala

📌 Questo non impedisce il login, ma blocca efficacemente i bot che tentano combinazioni casuali.

Autenticazione a due fattori (2FA)

La 2FA (autenticazione a due fattori) è una delle difese più efficaci contro gli accessi non autorizzati.

✅ Funziona così:

  1. Inserisci username e password
  2. Ricevi un codice via app (es. Google Authenticator) o email
  3. Solo con il codice giusto puoi accedere

💡 Puoi attivarla tramite plugin come Wordfence, WP 2FA o MiniOrange 2FA.

📌 Anche se un hacker conoscesse la password, non potrebbe entrare senza il secondo fattore.

Captcha e reCAPTCHA

I Captcha (tradizionali o invisibili) sono una barriera semplice ma utile contro i bot automatici.

Puoi:

  • Aggiungere Google reCAPTCHA v2/v3 alla pagina login
  • Usare plugin come Advanced Google reCAPTCHA o integrarlo con il tuo plugin di sicurezza
  • Mostrare il test solo in caso di sospetto comportamento

📌 Serve a distingue l’umano dal bot, evitando tentativi automatizzati massivi.

Restrizione IP o autenticazione via .htaccess

Se vuoi massimo controllo e hai dimestichezza tecnica, puoi proteggere wp-login.php a livello server:

Nel file .htaccess:

<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 123.123.123.123
</Files>

Conclusione: meglio proteggere che nascondere

Disattivare o rinominare wp-login.php può sembrare una scorciatoia per aumentare la sicurezza, ma in realtà è una falsa soluzione. I motivi sono chiari:

  • I bot evoluti trovano comunque la pagina di accesso
  • Puoi bloccare utenti legittimi o creare malfunzionamenti
  • Molti plugin e funzionalità di WordPress dipendono da quella pagina

📌 Invece di nascondere, dovresti rafforzare:

  • Limita i tentativi di login
  • Aggiungi CAPTCHA e autenticazione a due fattori
  • Configura controlli a livello server, se necessario

🔐 La sicurezza non si ottiene con trucchi, ma con strategie solide, monitoraggio attivo e strumenti professionali.

👉 Scopri il mio servizio di Sviluppo Siti Web Genova – realizzo siti vetrina, blog, ecommerce e portali su misura, ottimizzati per SEO, sicurezza e velocità.

🔐 Ogni sito è costruito con attenzione a sicurezza, performance, usabilità e manutenzione nel tempo.

📲 Contattami per una consulenza gratuita e inizia oggi il tuo progetto!

Hai bisogno di un sito web moderno e funzionale?
Richiedilo Ora!