Sarebbe buona regola proteggere tutte quelle parti di un blog/sito in cui è richiesta una registrazione. Una di queste protezioni è l’utilizzo di SSL. Poi c’è chi, come il sottoscritto, predica bene e razzola male. Ma sto rimediando… 😉
Se un servizio di SSL è attivo sul server web, esempio OpenSSL che è il più diffuso con Apache, è possibile effettuare una piccola modifica a WordPress affinché la pagina di login o tutte le pagine dell’amministrazione del blog siano costrette ad usare il servizio SSL disponibile.
Tutto questo, si intende, dopo aver installato un certificato SSL valido, acquistato o autoprodotto che sia. Se non lo avete, una facile ricerca su San Google sarà di grande aiuto.
Occorre modificare il file di configurazione di WordPress (wp-config.php) aggiungendo una di queste due istruzioni:
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
La prima forza l’uso di SSL solo per la pagina di login. La seconda per tutta la parte amministrativa del blog.
La seconda è da preferire, a mio avviso.
Se il blog si appoggia ad un pannello di controllo come Plesk, e nella configurazione del dominio se le pagine SSL e non fanno riferimento allo stesso percorso, probabilmente non ci sarà bisogno di fare niente altro (il condizionale è d’obbligo perché il pannello di controllo e le funzioni rese disponibili agli utenti potrebbero essere personalizzate).
Se invece ci si appoggia ad un Apache nudo e crudo, dando per scontato che OpenSSL sia installato come di solito è occorrerà predisporre opportunamente delle regole di rewrite nel file di configurazione del virtualhost o nel file .htaccess, affinché le pagine di amministrazione (/wp-login.php e tutto il percorso /wp-admin/*) vengano rimandate dal normale http:// a https://.
Un po’ come succede se provate ad accedere alla pagina di login di questo blog: https://robrota.com/wp-login.php
Altre informazioni, compresi alcuni esempi di regole di rewrite, li trovate in questa pagina dei codex di WordPress.
