WordPress in sicurezza: proteggere la configurazione

ATTENZIONE: questo articolo è più vecchio di un anno, e potrebbe non essere più attuale, sei pregato di tenerne conto.

SicurezzaQualcuno mi disse che essere fanatici della sicurezza è tempo perso. Per certi versi è vero, o si è dei geni dell’informatica oppure la sicurezza è quasi un eufemismo. Qualcosina però possiamo fare nel nostro piccolo, come ad esempio proteggere da occhi indiscreti il file di configurazione di WordPress, wp-config.php, dove sono ricavabili informazioni delicate, come l’utente e la password del database.

Non c’è nulla di sicuro, fatto salvo forse una mezza manciata di certezze esistenziali, comunque discutibile. I server web in particolare non sono sicuri, possono esserlo in modo ragionevole a seconda di chi li mantiene.
Non preoccupiamoci dei server, almeno in questa fase, diamo per scontato che il nostro amato blog risieda su una piattaforma più sicura possibile, gestita da un amministratore di sistema consapevole e premuroso, preoccupiamoci solo della nostra installazione di WordPress.

WordPress è un CMS molto diffuso e apprezzato, condizione che però riguarda anche chi cerca di violarlo per far danni o per puro (misero) divertimento. È una legge ben nota dell’informatica: più un prodotto è noto, sistema operativo o software  che sia, più sono gli hacker che cercano di scoprirne le vulnerabilità, maggiori sono i rischi che queste scoperte si trasformino in tentativi di violazione. Anche casuali, così per il gusto di farlo…

Personalmente non ho mai avuto grossi problemi di sicurezza con WordPress (sgrat sgrat!). Di tanto in tanto leggo di qualche falla, risolta in tempi tutto sommato rapidi, ed il più delle volte quando ne sono venuto a conoscenza avevo già aggiornato WordPress alla versione successiva, in cui la falla è stata tappata.

Però è sempre bene fare il possibile affinché la nostra installazione sia il più sicura possibile, si tratta di poche cose da applicare facilmente, come i permessi alle cartelle, il prefisso delle tabelle del database, l’uso di password difficili etcetera etcetera…

Volendo fare i precisini possiamo cercare di proteggere il nostro file di configurazione, wp-config.php, affinché sia maggiormente distante da occhi discreti.
Il file in questione è già abbastanza protetto di suo, difficile che qualcuno riesca a guardarci dentro, ma se proprio vogliamo darci un’ora di sonno tranquilla in più possiamo barricarlo grazie ai permessi del server web.
Ecco come fare.

Parliamo di Apache, ovviamente, a cui possiamo dire che quel file non deve essere consultato da nessuno.
Lo possiamo fare modificando il file di configurazione del virtual host, ma anche più semplicemente modificando il file .htaccess, che abbiamo già visto a proposito delle regole di rewrite, inserendo queste righe (la prima e l’ultima sono dei commenti):

# inizio barricata per wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# fine barricata per wp-config.php

Il significato non credo abbia bisogno di tante spiegazioni, lo si intuisce facilmente: il file wp-config.php è vietato a tutti.

Si tratta di un’ulteriore piccola precauzione, magari per qualcuno sarà pure superflua, ma di sicuro male non fa…

Giusto per la cronaca, questo barbatrucco non è farina del mio sacco, l’avevo letto in un blog riguardante la sicurezza dei CMS qualche mese addietro, ma il dominio purtroppo non è più attivo e non so più chi ringraziare di dovere come vorrei. Come se l’avessi fatto…

Che ne pensi?
Domande? Suggerimenti?
Lascia un commento…

Condividi se ti è piaciuto!

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp

Maggori informazioni:

Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

CONTRIBUISCI A QUESTO SITO
Se il mio lavoro ti è stato di aiuto,
e vuoi che io continui a publbicare,
contribuisci allo sviluppo di questo sito
con una donazione su PayPal.

2 commenti su “WordPress in sicurezza: proteggere la configurazione”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cerca nel sito:

Assistenza specializzata WordPress e WooCommerce

Altri articoli

Mandami un messaggio

Ciao, come posso aiutarti?