Indice dei contenuti
ToggleLa sicurezza di WordPress è fatta sì di operazioni complesse, ma anche di piccoli accorgimenti.
Uno di questi è sicuramente proteggere il file di configurazione wp-config.php, che contiene informazioni vitali per il funzionamento del sistema, come i dati per il collegamento al database, che potrebbero far gola ad eventuali malintenzionati.
Vediamo quindi tre piccole operazioni, alla portata di tutti, per migliorare la sicurezza del nostro WordPress.
Spostare il file di configurazione di WordPress
Il file di configurazione di WordPress può essere spostato rispetto l’installazione di WordPress stesso, e se l’hosting lo permette io lo sposto al livello immediatamente superiore, solitamente non raggiungibile dall’esterno (a meno di non accedere via FTP).
Se WordPress non trova il file di configurazione wp-config.php, prima di dare errore se lo va a cercare altrove, e se lo trova al livello superiore lo riconosce senza problemi.
Nota bene: questa pratica è molto discussa in rete, alcuni la sostengono, altri pensano che non porti alcun effetto, altri che sia addirittura potenzialmente pericolosa.
Io ritengo che vada vista caso per caso, con alcuni hosting ho visto che non è proprio possibile praticarla, con altri invece è attiva ormai da anni senza problemi di sorta.
I permessi giusti al file wp-config.php
A meno di non avere plugin che richiedano l’accesso in scrittura al file di configurazione, che io preferisco non avere, io normalmente setto i permessi di lettura e scrittura del file wp-config.php al solo utente, non a gruppi eventuali e tantomeno agli ospiti.
In pratica setto i permessi di wp-config.php a 600.
Proteggere il file di configurazione di WordPress con htaccess
Un altro accorgimento per mettere al riparo wp-config.php da occhi indiscreti, è di proteggerlo tramite il file .htaccess.
Bisogna modificare (o crearlo se non c’è) il file .htaccess allo stesso livello (nella stessa cartella) dove risiede il file wp-config.php, ed inserire queste indicazioni:
<files wp-config.php> order allow,deny deny from all </files>
Conclusioni
Questi accorgimenti, assieme a tanti altri, possono aumentare il livello di sicurezza del nostro WordPress.
A nulla servono, però, se si offre il fianco su altri fronti, come l’uso di FTP invece di SFTP (stessa cosa nella pratica,ma con un tantinello di sicurezza in più), magari con password ridicole, facilmente aggirabili.
Idem se il vero punto debole di una installazione non è WordPress ma l’hosting stesso, e ce ne sono alcuni davvero scandalosi.
Ma soprattutto, bisogna mettersi bene in testa che un buon backup di WordPress, ben programmato ed effettuato esternamente, è la prima regola da seguire!
5 risposte
Ciao Roberto, per quanto rigurada il file htacces che permessi consigli di mettere?
Grazie
Denis
Puoi bloccare gli accessi esterni con questa semplice regoletta:
# Blocca accessi esterni per .htaccess
Order allow, deny
Deny from all
Ottimi consigli, come semore!
E riguardo i plugin per la sicurezza, che ne pensi?
(Akismet
Spam Free WordPress
WP Security Scan
Theme Authenticity Check
Captcha
Better WP Security
Login Security Solution
WP Antivirus…)
Ciao e continua cosi!
Ciao Giovanni, i plugin per la sicurezza per come la vedo io sono pesanti e ingombranti, e inoltre sistemano solo alcune delle problematiche riguardanti la sicurezza di un sito.
Della serie, è bene preoccuparsi di WordPress, ma diventa inutile se è l’hosting l’anello debole della catena, come testimoniano la maggior parte dei report di sicurezza.
Chiaro che è bene non offrire ulteriormente il fianco, ma bisogna preoccuparsi anche a monte.
Le cose che fanno i plugin di sicurezza, alcuni bene per altro, sono comunque replicabili senza usare plugin.
rob
Quello che dici è vero, ma per le persone meno esperte è un problema, o bastano gli accorgimenti di questo tuo articolo?