Qualcuno mi disse che essere fanatici della sicurezza è tempo perso. Per certi versi è vero, o si è dei geni dell’informatica oppure la sicurezza è quasi un eufemismo. Qualcosina però possiamo fare nel nostro piccolo, come ad esempio proteggere da occhi indiscreti il file di configurazione di WordPress, wp-config.php, dove sono ricavabili informazioni delicate, come l’utente e la password del database.
Non c’è nulla di sicuro, fatto salvo forse una mezza manciata di certezze esistenziali, comunque discutibile. I server web in particolare non sono sicuri, possono esserlo in modo ragionevole a seconda di chi li mantiene.
Non preoccupiamoci dei server, almeno in questa fase, diamo per scontato che il nostro amato blog risieda su una piattaforma più sicura possibile, gestita da un amministratore di sistema consapevole e premuroso, preoccupiamoci solo della nostra installazione di WordPress.
WordPress è un CMS molto diffuso e apprezzato, condizione che però riguarda anche chi cerca di violarlo per far danni o per puro (misero) divertimento. È una legge ben nota dell’informatica: più un prodotto è noto, sistema operativo o software che sia, più sono gli hacker che cercano di scoprirne le vulnerabilità, maggiori sono i rischi che queste scoperte si trasformino in tentativi di violazione. Anche casuali, così per il gusto di farlo…
Personalmente non ho mai avuto grossi problemi di sicurezza con WordPress (sgrat sgrat!). Di tanto in tanto leggo di qualche falla, risolta in tempi tutto sommato rapidi, ed il più delle volte quando ne sono venuto a conoscenza avevo già aggiornato WordPress alla versione successiva, in cui la falla è stata tappata.
Però è sempre bene fare il possibile affinché la nostra installazione sia il più sicura possibile, si tratta di poche cose da applicare facilmente, come i permessi alle cartelle, il prefisso delle tabelle del database, l’uso di password difficili etcetera etcetera…
Volendo fare i precisini possiamo cercare di proteggere il nostro file di configurazione, wp-config.php, affinché sia maggiormente distante da occhi discreti.
Il file in questione è già abbastanza protetto di suo, difficile che qualcuno riesca a guardarci dentro, ma se proprio vogliamo darci un’ora di sonno tranquilla in più possiamo barricarlo grazie ai permessi del server web.
Ecco come fare.
Parliamo di Apache, ovviamente, a cui possiamo dire che quel file non deve essere consultato da nessuno.
Lo possiamo fare modificando il file di configurazione del virtual host, ma anche più semplicemente modificando il file .htaccess, che abbiamo già visto a proposito delle regole di rewrite, inserendo queste righe (la prima e l’ultima sono dei commenti):
# inizio barricata per wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# fine barricata per wp-config.php
Il significato non credo abbia bisogno di tante spiegazioni, lo si intuisce facilmente: il file wp-config.php è vietato a tutti.
Si tratta di un’ulteriore piccola precauzione, magari per qualcuno sarà pure superflua, ma di sicuro male non fa…
Giusto per la cronaca, questo barbatrucco non è farina del mio sacco, l’avevo letto in un blog riguardante la sicurezza dei CMS qualche mese addietro, ma il dominio purtroppo non è più attivo e non so più chi ringraziare di dovere come vorrei. Come se l’avessi fatto…
2 risposte
E’ sufficiente inserirlo in qualsiasi punto o deve essere inserito in una riga specifica?
ovunque
rob