La sicurezza di WordPress รจ fatta sรฌ di operazioni complesse, ma anche di piccoli accorgimenti.
Uno di questi รจ sicuramente proteggere il file di configurazione wp-config.php, che contiene informazioni vitali per il funzionamento del sistema, come i dati per il collegamento al database, che potrebbero far gola ad eventuali malintenzionati.
Vediamo quindi tre piccole operazioni, alla portata di tutti, per migliorare la sicurezza del nostro WordPress.
Spostare il file di configurazione di WordPress
Il file di configurazione di WordPress puรฒ essere spostato rispetto l’installazione di WordPress stesso, e se l’hosting lo permette io lo sposto al livello immediatamente superiore, solitamente non raggiungibile dall’esterno (a meno di non accedere via FTP).
Se WordPress non trova il file di configurazione wp-config.php, prima di dare errore se lo va a cercare altrove, e se lo trova al livello superiore lo riconosce senza problemi.
Nota bene: questa pratica รจ molto discussa in rete, alcuni la sostengono, altri pensano che non porti alcun effetto, altri che sia addirittura potenzialmente pericolosa.
Io ritengo che vada vista caso per caso, con alcuni hosting ho visto che non รจ proprio possibile praticarla, con altri invece รจ attiva ormai da anni senza problemi di sorta.
I permessi giusti al file wp-config.php
A meno di non avere plugin che richiedano l’accesso in scrittura al file di configurazione, che io preferisco non avere, io normalmente setto i permessi di lettura e scrittura del file wp-config.php al solo utente, non a gruppi eventuali e tantomeno agli ospiti.
In pratica setto i permessi di wp-config.php a 600.
Proteggere il file di configurazione di WordPress con htaccess
Un altro accorgimento per mettere al riparo wp-config.php da occhi indiscreti, รจ di proteggerlo tramite il file .htaccess.
Bisogna modificare (o crearlo se non c’รจ) il file .htaccess allo stesso livello (nella stessa cartella) dove risiede il file wp-config.php, ed inserire queste indicazioni:
<files wp-config.php> order allow,deny deny from all </files>
Conclusioni
Questi accorgimenti, assieme a tanti altri, possono aumentare il livello di sicurezza del nostro WordPress.
A nulla servono, perรฒ, se si offre il fianco su altri fronti, come l’uso di FTP invece di SFTP (stessa cosa nella pratica,ma con un tantinello di sicurezza in piรน), magari con password ridicole, facilmente aggirabili.
Idem se il vero punto debole di una installazione non รจ WordPress ma l’hosting stesso, e ce ne sono alcuni davvero scandalosi.
Ma soprattutto, bisogna mettersi bene in testa che un buon backup di WordPress, ben programmato ed effettuato esternamente, รจ la prima regola da seguire!
5 risposte
Ciao Roberto, per quanto rigurada il file htacces che permessi consigli di mettere?
Grazie
Denis
Puoi bloccare gli accessi esterni con questa semplice regoletta:
# Blocca accessi esterni per .htaccess
Order allow, deny
Deny from all
Ottimi consigli, come semore!
E riguardo i plugin per la sicurezza, che ne pensi?
(Akismet
Spam Free WordPress
WP Security Scan
Theme Authenticity Check
Captcha
Better WP Security
Login Security Solution
WP Antivirus…)
Ciao e continua cosi!
Ciao Giovanni, i plugin per la sicurezza per come la vedo io sono pesanti e ingombranti, e inoltre sistemano solo alcune delle problematiche riguardanti la sicurezza di un sito.
Della serie, รจ bene preoccuparsi di WordPress, ma diventa inutile se รจ l’hosting l’anello debole della catena, come testimoniano la maggior parte dei report di sicurezza.
Chiaro che รจ bene non offrire ulteriormente il fianco, ma bisogna preoccuparsi anche a monte.
Le cose che fanno i plugin di sicurezza, alcuni bene per altro, sono comunque replicabili senza usare plugin.
rob
Quello che dici รจ vero, ma per le persone meno esperte รจ un problema, o bastano gli accorgimenti di questo tuo articolo?