Sarebbe buona regola proteggere tutte quelle parti di un blog/sito in cui è richiesta una registrazione. Una di queste protezioni è l’utilizzo di SSL. Poi c’è chi, come il sottoscritto, predica bene e razzola male. Ma sto rimediando…

Se un servizio di SSL è attivo sul server web, esempio OpenSSL che è il più diffuso con Apache, è possibile effettuare una piccola modifica a WordPress affinché la pagina di login o tutte le pagine dell’amministrazione del blog siano costrette ad usare il servizio SSL disponibile.

Tutto questo, si intende, dopo aver  installato un certificato SSL valido, acquistato o autoprodotto che sia. Se non lo avete, una facile ricerca su San Google sarà di grande aiuto.

Occorre modificare il file di configurazione di WordPress (wp-config.php) aggiungendo una di queste due istruzioni:

define('FORCE_SSL_LOGIN', true);

define('FORCE_SSL_ADMIN', true);

La prima forza l’uso di SSL solo per la pagina di login. La seconda per tutta la parte amministrativa del blog.

La seconda è da preferire, a mio avviso.

Se il blog si appoggia ad un pannello di controllo come Plesk, e nella configurazione del dominio se le pagine SSL e non fanno riferimento allo stesso percorso, probabilmente non ci sarà bisogno di fare niente altro (il condizionale è d’obbligo perché il pannello di controllo e le funzioni rese disponibili agli utenti potrebbero essere personalizzate).

Se invece ci si appoggia ad un Apache nudo e crudo, dando per scontato che OpenSSL sia installato come di solito è occorrerà predisporre opportunamente delle regole di rewrite nel file di configurazione del virtualhost o nel file .htaccess, affinché le pagine di amministrazione (/wp-login.php e tutto il percorso /wp-admin/*) vengano rimandate dal normale http:// a https://.

Un po’ come succede se provate ad accedere alla pagina di login di questo blog: http://robrota.com/wp-login.php

Altre informazioni, compresi alcuni esempi di regole di rewrite, li trovate in questa pagina dei codex di WordPress.