Qualcuno mi disse che essere fanatici della sicurezza รจ tempo perso. Per certi versi รจ vero, o si รจ dei geni dell’informatica oppure la sicurezza รจ quasi un eufemismo. Qualcosina perรฒ possiamo fare nel nostro piccolo, come ad esempio proteggere da occhi indiscreti il file di configurazione di WordPress,ย wp-config.php, dove sono ricavabili informazioni delicate, come l’utente e la password del database.
Non c’รจ nulla di sicuro, fatto salvo forse una mezza manciata di certezze esistenziali, comunque discutibile. I server web in particolare non sono sicuri, possono esserlo in modo ragionevole a seconda di chi li mantiene.
Non preoccupiamoci dei server, almeno in questa fase, diamo per scontato che il nostro amato blog risieda su una piattaforma piรน sicura possibile, gestita da un amministratore di sistema consapevole e premuroso, preoccupiamoci solo della nostra installazione di WordPress.
WordPress รจ un CMS molto diffuso e apprezzato, condizione che perรฒ riguarda anche chi cerca di violarlo per far danni o per puro (misero) divertimento. ร una legge ben nota dell’informatica: piรน un prodotto รจ noto, sistema operativo o software ย che sia, piรน sono gli hacker che cercano di scoprirne le vulnerabilitร , maggiori sono i rischi che queste scoperte si trasformino in tentativi di violazione. Anche casuali, cosรฌ per il gusto di farlo…
Personalmente non ho mai avuto grossi problemi di sicurezza con WordPress (sgrat sgrat!). Di tanto in tanto leggo di qualche falla, risolta in tempi tutto sommato rapidi, ed il piรน delle volte quando ne sono venuto a conoscenza avevo giร aggiornato WordPress alla versione successiva, in cui la falla รจ stata tappata.
Perรฒ รจ sempre bene fare il possibile affinchรฉ la nostra installazione sia il piรน sicura possibile, si tratta di poche cose da applicare facilmente, come i permessi alle cartelle, il prefisso delle tabelle del database, l’uso di password difficili etcetera etcetera…
Volendo fare i precisini possiamo cercare di proteggere il nostro file di configurazione, wp-config.php, affinchรฉ sia maggiormente distante da occhi discreti.
Il file in questione รจ giร abbastanza protetto di suo, difficile che qualcuno riesca a guardarci dentro, ma se proprio vogliamo darci un’ora di sonno tranquilla in piรน possiamo barricarlo grazie ai permessi del server web.
Ecco come fare.
Parliamo di Apache, ovviamente, a cui possiamo dire che quel file non deve essere consultato da nessuno.
Lo possiamo fare modificando il file di configurazione del virtual host, ma anche piรน semplicemente modificando il file .htaccess, che abbiamo giร visto a proposito delle regole di rewrite, inserendo queste righe (la prima e l’ultima sono dei commenti):
# inizio barricata per wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# fine barricata per wp-config.php
Il significato non credo abbia bisogno di tante spiegazioni, lo si intuisce facilmente: il file wp-config.php รจ vietato a tutti.
Si tratta di un’ulteriore piccola precauzione, magari per qualcuno sarร pure superflua, ma di sicuro male non fa…
Giusto per la cronaca, questo barbatrucco non รจ farina del mio sacco, l’avevo letto in un blog riguardante la sicurezza dei CMS qualche mese addietro, ma il dominio purtroppo non รจ piรน attivo e non so piรน chi ringraziare di dovere come vorrei. Come se l’avessi fatto…
2 risposte
E’ sufficiente inserirlo in qualsiasi punto o deve essere inserito in una riga specifica?
ovunque
rob