Sicurezza WordPress e file di configurazione

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

Sicurezza file di configurazione WordPress

La sicurezza di WordPress è fatta sì di operazioni complesse, ma anche di piccoli accorgimenti.

Uno di questi è sicuramente proteggere il file di configurazione wp-config.php, che contiene informazioni vitali per il funzionamento del sistema, come i dati per il collegamento al database, che potrebbero far gola ad eventuali malintenzionati.

Vediamo quindi tre piccole operazioni, alla portata di tutti, per migliorare la sicurezza del nostro WordPress.

Spostare il file di configurazione di WordPress

Il file di configurazione di WordPress può essere spostato rispetto l’installazione di WordPress stesso, e se l’hosting lo permette io lo sposto al livello immediatamente superiore, solitamente non raggiungibile dall’esterno (a meno di non accedere via FTP).

Se WordPress non trova il file di configurazione wp-config.php, prima di dare errore se lo va a cercare altrove, e se lo trova al livello superiore lo riconosce senza problemi.

Nota bene: questa pratica è molto discussa in rete, alcuni la sostengono, altri pensano che non porti alcun effetto, altri che sia addirittura potenzialmente pericolosa.
Io ritengo che vada vista caso per caso, con alcuni hosting ho visto che non è proprio possibile praticarla, con altri invece è attiva ormai da anni senza problemi di sorta.

I permessi giusti al file wp-config.php

A meno di non avere plugin che richiedano l’accesso in scrittura al file di configurazione, che io preferisco non avere, io normalmente setto i permessi di lettura e scrittura del file wp-config.php al solo utente, non a gruppi eventuali e tantomeno agli ospiti.

In pratica setto i permessi di wp-config.php a 600.

Proteggere il file di configurazione di WordPress con htaccess

Un altro accorgimento per mettere al riparo wp-config.php da occhi indiscreti, è di proteggerlo tramite il file .htaccess.

Bisogna modificare (o crearlo se non c’è) il file .htaccess allo stesso livello (nella stessa cartella) dove risiede il file wp-config.php, ed inserire queste indicazioni:

<files wp-config.php>
order allow,deny
deny from all
</files>

Conclusioni

Questi accorgimenti, assieme a tanti altri, possono aumentare il livello di sicurezza del nostro WordPress.

A nulla servono, però, se si offre il fianco su altri fronti, come l’uso di FTP invece di SFTP (stessa cosa nella pratica,ma con un tantinello di sicurezza in più), magari con password ridicole, facilmente aggirabili.

Idem se il vero punto debole di una installazione non è WordPress ma l’hosting stesso, e ce ne sono alcuni davvero scandalosi.

Ma soprattutto, bisogna mettersi bene in testa che un buon backup di WordPress, ben programmato ed effettuato esternamente, è la prima regola da seguire!

Tags: , , , ,

5 Risposte a “Sicurezza WordPress e file di configurazione”

  1. Giovanni 14 Mag 2014 at 10:52 #

    Ottimi consigli, come semore!

    E riguardo i plugin per la sicurezza, che ne pensi?
    (Akismet
    Spam Free WordPress
    WP Security Scan
    Theme Authenticity Check
    Captcha
    Better WP Security
    Login Security Solution
    WP Antivirus…)

    Ciao e continua cosi!

    • Roberto Rota 14 Mag 2014 at 15:37 #

      Ciao Giovanni, i plugin per la sicurezza per come la vedo io sono pesanti e ingombranti, e inoltre sistemano solo alcune delle problematiche riguardanti la sicurezza di un sito.

      Della serie, è bene preoccuparsi di WordPress, ma diventa inutile se è l’hosting l’anello debole della catena, come testimoniano la maggior parte dei report di sicurezza.

      Chiaro che è bene non offrire ulteriormente il fianco, ma bisogna preoccuparsi anche a monte.

      Le cose che fanno i plugin di sicurezza, alcuni bene per altro, sono comunque replicabili senza usare plugin.

      rob

      • Giovanni 14 Mag 2014 at 17:38 #

        Quello che dici è vero, ma per le persone meno esperte è un problema, o bastano gli accorgimenti di questo tuo articolo?

  2. denis 24 Apr 2017 at 09:50 #

    Ciao Roberto, per quanto rigurada il file htacces che permessi consigli di mettere?
    Grazie
    Denis

    • Roberto Rota 24 Apr 2017 at 14:15 #

      Puoi bloccare gli accessi esterni con questa semplice regoletta:

      # Blocca accessi esterni per .htaccess

      Order allow, deny
      Deny from all

Dubbi o suggerimenti? Lascia un commento!

I love Instagram