Wp-config.php è al sicuro?

Proprio perché WordPress è una piattaforma così diffusa i rischi di ritrovarsi il sito o blog compromesso sono reali.

Il file wp-config.php contiene molte informazioni “sensibili” come i dati di accesso al database, il prefisso dello stesso e le chiavi segrete (secret-key).

Molti sono convinti che il file wp-config di WordPress sia al sicuro, senza dover intervenire ulteriormente per proteggerlo. In parte questo è vero, quando sul server tutto funziona bene; ma ci sono momenti in cui invece le cose potrebbero essere diverse..

Ogni volta che scarichiamo il backup del nostro dominio, per esempio; in quanti davvero utilizzano una connessione SFTP o FTPES invece della comune e insicura FTP?
Sarebbe sempre bene connettersi al server in modalità protetta, specie ogni qual volta si fa un upload o download delle directory e file, proprio perché il backup del dominio contiene anche il file wp-config.php!

Ma c’è anche un altro aspetto, molto importante da prendere in considerazione, che potrebbe rendere vulnerabile temporaneamente il file wp-config permettendone l’accesso.

Sto parlando di quei momenti in cui potrebbero verificarsi problemi al server o alla vostra installazione e decidete di cancellare le directory wp-admin e wp-includes – oltre a tutti i file presenti nella cartella principale di WordPress, ad esclusione di .htaccess e wp-config – per ripristinare WordPress.
In quel preciso istante il wp-config potrebbe essere molto più vulnerabile di quando tutto funziona al meglio.

Un altro scenario possibile è quello che il servizio di host non abbia curato bene l’aspetto sicurezza lato server e altri utenti dello stesso riescano a entrare nelle installazioni altrui, cosa assai frequente in alcuni servizi italiani..

Per questo io da tempo aggiungo alle mie installazioni una regoletta nel file .htaccess atta a prevenire intrusioni indesiderate.
Ecco come potete fare:

  1. Colleghiamoci al dominio con un programma per FTP (tipo FileZilla) utilizzando una connessione protetta ed effettuiamo un backup di tutti i dati se non ne avete una recente;
  2. scarichiamo ancora in locale il file dal nome .htaccess (questo è situato nella stessa sezione del vostro dominio – la cartella principale di WordPress – ove son presenti anche i file wp-config.php e index.php;
  3. apriamolo con l’editor di testo blocco note (notepad);
  4. copiamoci il codice prelevabile qui in basso incollandolo alla fine di quanto vedete già scritto nel file .htaccess.
# protect wpconfig.php

order allow,deny

Salviamo, selezionando dal menù File -> Salva come e nella nuova finestra dell’editor non scrivete alcun nome, bensì in quella più in basso per l’estensione del file selezionate Tutti i file; questo serve a non cambiare l’estensione del file .htacces in un file di testo .txt.

Non vi resta che ri-uppare il file nella posizione da cui lo avevate precedentemente scaricato sovrascrivendo il vecchio. Ricordate di usare FileZilla, o un programma equivalente, in modalità SFTP.

Zhenya

Stampa questo Post

Post correlati

2 comments for “Wp-config.php è al sicuro?

  1. feedproxy.google.com
    11 ottobre 2010 at 18:28

    Posted it to twitter. Greetings from the Speedy DNS

  2. 2011 Challenger
    31 dicembre 2010 at 05:53

    Happy New Year!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *