WordPress è il CMS più utilizzato al mondo.
Permette di creare un blog in pochi passi: non sono necessarie conoscenze approfondite per realizzare un sito di tutto rispetto.
Ma è sempre buona norma, per evitare spiacevoli inconvenienti, prendere delle piccole precauzioni (ad esempio, in un articolo precedente, abbiamo rimosso il numero di versione di WordPress) per rendere il sito sicuro.
Una di queste è mettere in sicurezza il file wp-config.php.
Si tratta di uno dei file più importanti di tutta l’installazione:
grazie alle informazioni contenute in esso possiamo connettere il database al server, solo in questo modo il contenuto del sito sarà visualizzato in Rete.
Proprio per questo dobbiamo nascondere ai malintenzionati queste informazioni (nome utente, password, nome database, nome host).
Ci sono diversi metodi, il più semplice (bastano 30 secondi) è scrivere poche righe all’interno del file .htaccess.
Questo file può fare alcune cose quasi “miracolose”, basta inserire le informazioni giuste (e che il server dove risiede il nostro sito utilizzi questo sistema).
Se avete già il file nella root di WordPress basterà aprirlo ed inserire, all’inizio, queste righe:
<Files wp-config.php> Order Allow,Deny Deny from all </Files>
In caso contrario, aprite il vostro editor preferito e createlo.
Scrivete le righe precedenti e salvate il file con questo nome:
.htaccess
Esattamente così, senza estensione finale e con il punto all’inizio.
Con l’applicazione FTP preferita (io utilizzo Filezilla) trasferite il file nella vostra installazione WordPress, fatto.
L’argomento sicurezza in WordPress è ampio ma mettere in sicurezza il file wp-config.php è il primo “antifurto” che dobbiamo attivare per dormire sonni tranquilli.
Buongiorno Eugenio !
Ottimo articolo, grazie per averlo condiviso !
Ho capito che queste poche righe di codice ci aiutano a proteggere il nostro sito dai malintenzionati. Ma di preciso cosa permette di fare ? Puoi essere più specifico ?
Scusami se sembro invadente, sono una persona curiosa 🙂
Ciao Lorenzo, il file
wp-config.phpcontiene le informazioni più importanti del nostro sito web. Senza di esse non potrebbe connettersi al database e, di conseguenza, non visualizzeremmo il sito. Se queste informazioni (tra cui il nome del database, la password per accedervi) finiscono nelle mani di un buontempone o di qualcuno che ci vuole male è un problema. Avrebbe a disposizione il sito web esattamente come noi, in poche parole potrebbe, ad esempio, accedere al database e cambiare il testo dei post o cancellarli e sostituirli. Capirai, da queste poche righe, quanto sia importante tenere queste informazioni lontane da occhi indiscreti. Ciao e grazie per il commento 🙂Ciao Eugenio, buongiorno.
Ho letto il tuo post e ho provato anche o ad inserire questo codice nel file .htacces del mio sito wordpress, ma no cambia nulla. Nel senso che se digito la url per andare alla pagina di login del pannello di amministrazione ci va cmq.
Sbaglio qualcosa io?
Premetto che sto lavorando in locale ancora con xampp.
Ciao e grazie.
Ciao Mino, nel post spiego come fare per nascondere ad occhi indiscreti i dati più importanti di WordPress: il nome utente del database, il nome del database, etc, insomma le stringhe contenute all’interno del file
wp-config.php.Forse ti serve qualcosa per limitare i tentativi di login, per questo ti consiglio il plugin iThemes Security, può fare cose davvero interessanti.
Buon Natale e fammi sapere se hai risolto 🙂