Cerca

Sicurezza WordPress e file di configurazione

Sicurezza file di configurazione WordPress

La sicurezza di WordPress è fatta sì di operazioni complesse, ma anche di piccoli accorgimenti.

Uno di questi è sicuramente proteggere il file di configurazione wp-config.php, che contiene informazioni vitali per il funzionamento del sistema, come i dati per il collegamento al database, che potrebbero far gola ad eventuali malintenzionati.

Vediamo quindi tre piccole operazioni, alla portata di tutti, per migliorare la sicurezza del nostro WordPress.

Spostare il file di configurazione di WordPress

Il file di configurazione di WordPress può essere spostato rispetto l’installazione di WordPress stesso, e se l’hosting lo permette io lo sposto al livello immediatamente superiore, solitamente non raggiungibile dall’esterno (a meno di non accedere via FTP).

Se WordPress non trova il file di configurazione wp-config.php, prima di dare errore se lo va a cercare altrove, e se lo trova al livello superiore lo riconosce senza problemi.

Nota bene: questa pratica è molto discussa in rete, alcuni la sostengono, altri pensano che non porti alcun effetto, altri che sia addirittura potenzialmente pericolosa.
Io ritengo che vada vista caso per caso, con alcuni hosting ho visto che non è proprio possibile praticarla, con altri invece è attiva ormai da anni senza problemi di sorta.

I permessi giusti al file wp-config.php

A meno di non avere plugin che richiedano l’accesso in scrittura al file di configurazione, che io preferisco non avere, io normalmente setto i permessi di lettura e scrittura del file wp-config.php al solo utente, non a gruppi eventuali e tantomeno agli ospiti.

In pratica setto i permessi di wp-config.php a 600.

Proteggere il file di configurazione di WordPress con htaccess

Un altro accorgimento per mettere al riparo wp-config.php da occhi indiscreti, è di proteggerlo tramite il file .htaccess.

Bisogna modificare (o crearlo se non c’è) il file .htaccess allo stesso livello (nella stessa cartella) dove risiede il file wp-config.php, ed inserire queste indicazioni:

<files wp-config.php>
order allow,deny
deny from all
</files>

Conclusioni

Questi accorgimenti, assieme a tanti altri, possono aumentare il livello di sicurezza del nostro WordPress.

A nulla servono, però, se si offre il fianco su altri fronti, come l’uso di FTP invece di SFTP (stessa cosa nella pratica,ma con un tantinello di sicurezza in più), magari con password ridicole, facilmente aggirabili.

Idem se il vero punto debole di una installazione non è WordPress ma l’hosting stesso, e ce ne sono alcuni davvero scandalosi.

Ma soprattutto, bisogna mettersi bene in testa che un buon backup di WordPress, ben programmato ed effettuato esternamente, è la prima regola da seguire!

Condividi se ti è piaciuto!

Altri articoli che potrebbero interessarti:

Picture of Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

DAI IL TUO CONTRIBUTO

Se il mio lavoro ti è stato di aiuto, contribuisci alla continuità di questo sito.
Basta una piccola donazione su PayPal, una pizza e una birra alla tua salute!

5 risposte

  1. Ottimi consigli, come semore!

    E riguardo i plugin per la sicurezza, che ne pensi?
    (Akismet
    Spam Free WordPress
    WP Security Scan
    Theme Authenticity Check
    Captcha
    Better WP Security
    Login Security Solution
    WP Antivirus…)

    Ciao e continua cosi!

    1. Ciao Giovanni, i plugin per la sicurezza per come la vedo io sono pesanti e ingombranti, e inoltre sistemano solo alcune delle problematiche riguardanti la sicurezza di un sito.

      Della serie, è bene preoccuparsi di WordPress, ma diventa inutile se è l’hosting l’anello debole della catena, come testimoniano la maggior parte dei report di sicurezza.

      Chiaro che è bene non offrire ulteriormente il fianco, ma bisogna preoccuparsi anche a monte.

      Le cose che fanno i plugin di sicurezza, alcuni bene per altro, sono comunque replicabili senza usare plugin.

      rob

      1. Quello che dici è vero, ma per le persone meno esperte è un problema, o bastano gli accorgimenti di questo tuo articolo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.