Proteggere il File wp-config.php di WordPress su Nginx: Una Guida Passo-Passo
1. Aggiorna le Permessi del File
La prima linea di difesa nel proteggere il tuo file wp-config.php
è impostare correttamente i permessi del file.
Idealmente, dovresti impostare i permessi del file wp-config.php
a 400
o 440
, il che significa che solo il proprietario può leggere il file e nessuno può scrivere su di esso.
Questo può essere realizzato tramite SSH o un client FTP eseguendo:
chmod 400 wp-config.php
2. Utilizza i Blocchi Server di Nginx per Negare l'Accesso
La configurazione di Nginx ti permette di negare l'accesso a specifici file direttamente all'interno della configurazione del blocco server.
Per negare l'accesso al tuo file wp-config.php
, aggiungi quanto segue all'interno del blocco server nel tuo file di configurazione Nginx (nginx.conf
o un file di configurazione specifico per dominio):
location ~* /wp-config.php {
deny all;
return 404;
}
Questa configurazione assicura che qualsiasi tentativo di accedere direttamente al file wp-config.php
tramite un browser risulti in un errore 404 Not Found, nascondendo efficacemente il file da accessi non autorizzati.
3. Proteggi i File PHP
Proteggere tutti i file PHP nella tua installazione WordPress può anche proteggere indirettamente il file wp-config.php
.
Restringendo l'esecuzione di PHP in specifiche directory, limiti il potenziale per gli script di exploit di eseguire.
Per proteggere i file PHP, includi la seguente direttiva nella tua configurazione Nginx:
location ~* \.php$ {
include fastcgi_params;
fastcgi_pass unix:/var/run/php/php7.4-fpm.sock; # Adegua per corrispondere alla tua versione di PHP-FPM
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
Assicurati di adeguare il parametro fastcgi_pass
per corrispondere al socket o all'indirizzo TCP/IP del tuo servizio PHP-FPM.
4. Implementa Restrizioni di Accesso
Implementare restrizioni di accesso può ulteriormente proteggere la tua area amministrativa WordPress e, per estensione, il tuo file wp-config.php
.
Restringendo l'accesso all'area amministrativa di WordPress solo a specifici indirizzi IP puoi ridurre i tentativi di accesso non autorizzati.
Aggiungi quanto segue alla tua configurazione Nginx:
location /wp-admin {
allow TUO.INDIRIZZO.IP; # Sostituisci con il tuo indirizzo IP
deny all;
}
Ricorda di sostituire TUO.INDIRIZZO.IP
con il tuo effettivo indirizzo IP.
Questa configurazione nega l'accesso alla directory /wp-admin
a tutti tranne che alle richieste provenienti dal tuo IP specificato.
5. Usa Chiavi di Sicurezza Forti
Così come per le configurazioni Apache, assicurarsi che la tua installazione WordPress utilizzi chiavi di sicurezza forti e uniche è fondamentale per proteggere il tuo file wp-config.php
.
Anche se non è specifico per Nginx, è un passo essenziale nella protezione della tua installazione WordPress.
Utilizza il Generatore di Chiavi di Sicurezza WordPress per creare chiavi forti e aggiorna di conseguenza il tuo file wp-config.php
.
Conclusione
Proteggere il tuo file wp-config.php
su un server Nginx comporta l'impostazione corretta dei permessi del file, la negazione dell'accesso diretto tramite i blocchi server, la protezione dei file PHP, l'implementazione di restrizioni di accesso e l'uso di chiavi di sicurezza forti.
Questi passaggi formano una strategia completa per proteggere la tua installazione WordPress su Nginx senza fare affidamento su plugin o spostare file sensibili.
Revisiona e aggiorna regolarmente le tue pratiche di sicurezza per difenderti dalle nuove minacce e mantenere un ambiente WordPress sicuro.