Sarebbe buona regola proteggere tutte quelle parti di un blog/sito in cui รจ richiesta una registrazione. Una di queste protezioni รจ l’utilizzo di SSL. Poi c’รจ chi, come il sottoscritto, predica bene e razzola male. Ma sto rimediando… ๐
Se un servizio di SSL รจ attivo sul server web, esempio OpenSSL che รจ il piรน diffuso con Apache, รจ possibile effettuare una piccola modifica a WordPress affinchรฉ la pagina di login o tutte le pagine dell’amministrazione del blog siano costrette ad usare il servizio SSL disponibile.
Tutto questo, si intende, dopo aver ย installato un certificato SSL valido, acquistato o autoprodotto che sia. Se non lo avete, una facile ricerca su San Google sarร di grande aiuto.
Occorre modificare il file di configurazione di WordPress (wp-config.php) aggiungendo una di queste due istruzioni:
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
La prima forza l’uso di SSL solo per la pagina di login. La seconda per tutta la parte amministrativa del blog.
La seconda รจ da preferire, a mio avviso.
Se il blog si appoggia ad un pannello di controllo come Plesk, e nella configurazione del dominio se le pagine SSL e non fanno riferimento allo stesso percorso, probabilmente non ci sarร bisogno di fare niente altro (il condizionale รจ d’obbligo perchรฉ il pannello di controllo e le funzioni rese disponibili agli utenti potrebbero essere personalizzate).
Se invece ci si appoggia ad un Apache nudo e crudo, dando per scontato che OpenSSL sia installato come di solito รจ occorrerร predisporre opportunamente delle regole di rewrite nel file di configurazione del virtualhost o nel file .htaccess, affinchรฉ le pagine di amministrazione (/wp-login.php e tutto il percorso /wp-admin/*) vengano rimandate dal normale http:// a https://.
Un po’ come succede se provate ad accedere alla pagina di login di questo blog: https://robrota.com/wp-login.php
Altre informazioni, compresi alcuni esempi di regole di rewrite, li trovate in questa pagina dei codex di WordPress.
