Sicurezza

Impostazioni avanzate di sicurezza per il file wp-config.php di WordPress

  • 19 minuti di lettura
  • Team Hostragons
Impostazioni avanzate di sicurezza per il file wp-config.php di WordPress

Le impostazioni avanzate di sicurezza che possono essere effettuate tramite il file wp-config.php di WordPress comprendono: proteggere l'accesso al database, rafforzare le chiavi di sessione, disattivare la modifica dei file, gestire in modo sicuro l'output di debug, forzare l’uso di SSL e limitare i percorsi delle directory critiche. In breve, wp-config.php è uno dei centri di sicurezza del tuo sito WordPress; con le impostazioni corrette, riduce la superficie di attacco, diminuisce il rischio di accessi non autorizzati e limita i danni in caso di eventi di sicurezza.

La maggior parte dei proprietari di siti che installano WordPress vede il file wp-config.php soltanto come un documento tecnico in cui inserire il nome del database, il nome utente e la password. Tuttavia, questo file è una parte fondamentale dell'architettura della sicurezza di un sito web live. In particolare, per siti di e-commerce, sistemi di membership, siti web aziendali e blog ad alto traffico, un file wp-config.php correttamente configurato fornisce uno strato di difesa robusto contro attacchi di bot semplici, manipolazioni di file tramite il pannello, perdite di messaggi di errore e tentativi di furto di sessione.

In questa guida, esamineremo passo dopo passo le impostazioni avanzate di sicurezza che possono essere applicate al file wp-config.php di WordPress per il blog di Hostragons. Spiegheremo in modo semplice ma tecnicamente accurato a cosa serve ogni impostazione, quando raccomandiamo di utilizzarla e a cosa prestare attenzione prima di applicarla. Se non hai ancora un'infrastruttura di hosting sicura e aggiornata, è importante anche scegliere un hosting WordPress affidabile insieme al rinforzo di wp-config.php. A questo punto, le pagine pacchetti di hosting WordPress e soluzioni di web hosting sicure potrebbero essere utili.

Cos'è il file wp-config.php e perché è critico per la sicurezza?

Il file wp-config.php è un file di configurazione situato nella directory radice di WordPress, che contiene i parametri fondamentali di funzionamento del sito. WordPress si connette al database tramite questo file, legge le chiavi di sicurezza, determina il comportamento di debug, gestisce le operazioni del file system e esegue alcune variabili avanzate. Perciò, il contenuto di questo file è molto più sensibile rispetto a un normale file di tema.

Questo file generalmente contiene le seguenti informazioni critiche:

  • Nome del database, nome utente, password e informazioni sul server
  • Chiavi di sicurezza e sali conosciuti come Authentication Unique Keys e Salts
  • Prefisso delle tabelle del database
  • Impostazioni di debug e registrazione
  • Costanti che controllano la modifica dei file, l'aggiornamento e il comportamento di SSL
  • Impostazioni operative come il limite di memoria di WordPress e la directory dei file temporanei

Se un attaccante riesce ad accedere al contenuto di wp-config.php, può appropriarsi delle informazioni di connessione al database. In questo caso, non solo il pannello di WordPress è a rischio, ma anche gli account degli utenti nel database, i registri degli ordini, i moduli, i contenuti e i dati sensibili dei clienti. Pertanto, proteggere il file wp-config.php è uno dei passi fondamentali per la sicurezza di WordPress.

Prima di iniziare: piano di backup, test e accesso

Anche un piccolo errore di battitura nel file wp-config.php può portare a errori di schermo bianco, interruzioni della connessione al database o accesso negato al pannello di amministrazione. Per questo motivo, prima di apportare modifiche, applica un piano di sicurezza in tre fasi.

1. Esegui un backup completo

Inizia eseguendo un backup dei file e del database. Non basta scaricare solo il file wp-config.php sul computer; poiché una modifica potrebbe influenzare la connessione al database, è importante anche un backup del database. Se il tuo pannello di controllo ha una funzione di backup automatico, controlla la data dell'ultimo backup. Se necessario, crea un backup manuale. Puoi seguirne i dettagli con il contenuto guida al backup del sito web.

2. Applica le modifiche una alla volta

Invece di aggiungere 8 o 10 impostazioni di sicurezza tutte insieme, testa il sito, il pannello di amministrazione e i moduli critici dopo ogni modifica. Per esempio, inizia disattivando la modifica dei file, controlla il sito e poi configura le impostazioni di debug. Questo metodo ti permette di scoprire rapidamente quale riga ha causato il problema in caso di errore.

3. Assicurati di avere accesso FTP o tramite il file manager

Se wp-config.php viene registrato in modo errato, potresti non essere in grado di accedere al pannello di WordPress. Pertanto, assicurati che il file manager di cPanel, SFTP o il trasferimento file sicuro funzionino correttamente. L'uso di SFTP è più sicuro rispetto a FTP poiché la connessione è crittografata. Per un accesso sicuro, una guida su che cos'è SFTP e come si usa potrebbe essere utile.

Riepilogo delle impostazioni di sicurezza di wp-config.php

La seguente tabella riassume in modo pratico le impostazioni di sicurezza fondamentali e avanzate discusse in questa guida. Prima di applicarle sul sito live, valuta attentamente ogni riga in base alle esigenze del tuo sito.

Riepilogo delle impostazioni di sicurezza di wp-config.php
ImpostazioneObiettivoSituazione consigliataLivello di rischio
Rinnovo delle chiavi di sicurezzaRidurre il rischio di furto di sessioneAll'installazione e dopo accessi sospettiBasso
DISALLOW_FILE_EDITDisattivare la modifica di temi e plugin dal pannelloSu tutti i siti liveBasso
Nascondere l'output di debugNascondere messaggi di errore e informazioni sui percorsiSu tutti i siti liveModerato
Obbligo di SSLCrittografare il traffico del pannelloSu tutti i siti con SSLBasso
Cambio del prefisso del databaseRendere più difficile gli attacchi SQL automaticiSu nuove installazioniModerato
Rafforzamento dei permessi dei fileImpedire operazioni di scrittura non autorizzateSu tutti i sitiModerato
Gestione degli aggiornamenti automaticiAccelerare le patch di sicurezzaSu versioni minori aperteBasso

Rafforza le chiavi di sicurezza e i valori Salt

La sicurezza delle sessioni di WordPress è supportata dalle chiavi AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY e dai loro valori salt presenti in wp-config.php. Queste chiavi rendono più sicuri i cookie degli utenti e i processi di autentificazione delle sessioni. Se le chiavi sono deboli, predefinite o non sono state cambiate da tempo, la sicurezza della sessione ne risentirà.

La pratica consigliata è generare nuove chiavi casuali tramite il generatore di chiavi segrete ufficiale di WordPress. Queste chiavi di solito sono più lunghe di 64 caratteri, contengono simboli casuali e sono praticamente impossibili da indovinare. Basta sostituire le nuove chiavi con quelle esistenti in wp-config.php.

Il risultato di questa operazione è chiaro: tutte le sessioni degli utenti attivi vengono terminate e gli utenti devono effettuare nuovamente il login. Se sospetti che un account amministratore sia stato compromesso, rinnovare i valori salt è un passo rapido da compiere in caso di emergenza. In particolare, è buona norma rinnovare queste chiavi ogni sei mesi o in caso di sospetta violazione della sicurezza.

Disattiva la modifica dei file dal pannello

All'interno del pannello di amministrazione di WordPress è presente un editor che consente di modificare i file di temi e plugin. Sebbene questa funzione possa sembrare pratica durante lo sviluppo, rappresenta un serio rischio per i siti live. Se un attaccante riesce ad accedere all'account amministratore, può inserire codice PHP maligno tramite l'editor di file nel pannello.

Puoi disattivare la modifica dei file nel pannello aggiungendo la seguente costante a wp-config.php: define('DISALLOW_FILE_EDIT', true);

Questa impostazione disabilita l'editor dei file di tema e plugin nel pannello di WordPress. Consigliamo di attivarla di default per blog che pubblicano regolarmente, siti aziendali e negozi WooCommerce. Se hai bisogno di modifiche ai file, queste dovrebbero essere effettuate tramite SFTP, Git o processi di distribuzione sicuri.

Come opzione più avanzata, è possibile utilizzare la costante DISALLOW_FILE_MODS, che limita anche le operazioni di caricamento e aggiornamento dei file. Tuttavia, poiché questa impostazione potrebbe impedire anche gli aggiornamenti di plugin e temi, dovrebbe essere utilizzata solo su sistemi molto sensibili in cui non devono essere apportate modifiche al di fuori della finestra di manutenzione.

Adatta le impostazioni di debug al sito live

Attivare il valore WP_DEBUG nell'ambiente di sviluppo di WordPress è utile; consente di visualizzare errori, scoprire plugin non compatibili e diagnosticare problemi di tema. Tuttavia, visualizzare messaggi di errore sul sito live può rivelare informazioni utili all'attaccante, come il percorso del server, il nome del plugin, la posizione del file, suggerimenti su query del database e versione di PHP.

L'approccio sicuro per un ambiente live è: non mostrare errori ai visitatori, scrivendo in un file di log privato se necessario. Di conseguenza, WP_DEBUG dovrebbe essere false; se hashing è necessario durante la fase di sviluppo, si potrebbero utilizzare WP_DEBUG_LOG true e WP_DEBUG_DISPLAY false. La logica esemplificativa è: define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false);

Se hai bisogno di fare un'indagine su un errore, abilita la registrazione temporaneamente, risolvi il problema e poi disattivala nuovamente. Inoltre, assicurati che il file di log non sia accessibile dalla directory pubblica. Questo perché il file debug.log può a volte trovarsi in posizioni vicine alla radice del sito e potrebbe essere leggibile da esterni in server mal configurati. È cruciale avere la giusta configurazione di hosting per ridurre tali rischi. I contenuti come gestire i log di errore WordPress e hosting WordPress sicuro possono costituire collegamenti naturali a questo punto.

Rendi obbligatorio SSL e la sicurezza del pannello di amministrazione

Il certificato SSL crittografa il traffico tra l'utente e il server. Poiché l'accesso al pannello di WordPress avviene tramite nome utente e password, è fondamentale che il traffico amministrativo avvenga tramite HTTPS. Questa impostazione è ancora più importante per i team che accedono al pannello di amministrazione da reti pubbliche, al di fuori dell'ufficio o da connessioni mobili.

All'interno di wp-config.php, la costante FORCE_SSL_ADMIN può rendere obbligatorio SSL nel pannello di amministrazione: define('FORCE_SSL_ADMIN', true);

Per garantire il corretto funzionamento di questa impostazione, il tuo dominio deve avere un certificato SSL valido. Se non stai ancora utilizzando SSL, completa prima l'installazione del certificato. SSL non è fondamentale solo per la sicurezza, ma è essenziale anche per la fiducia degli utenti e per il SEO. Puoi dare un'occhiata alla pagina prodotti di certificato SSL per le opzioni SSL tramite Hostragons e alla pagina verifica e registrazione del dominio per la gestione del nome di dominio.

Se dopo l'imposizione di SSL si verifica un errore di reindirizzamento infinito, di solito è un problema di rilevamento errato della configurazione del proxy, CDN o bilanciatore di carico. In tal caso, dovrebbero essere controllati gli header HTTPS sul server e le impostazioni dell'indirizzo del sito WordPress.

Gestisci in modo più sicuro le informazioni del database e il prefisso delle tabelle

I valori DB_NAME, DB_USER, DB_PASSWORD e DB_HOST nel file wp-config.php permettono a WordPress di connettersi al database. Queste informazioni devono essere forti e i privilegi devono essere limitati. Uno degli errori più comuni è concedere troppi diritti all'utente del database.

Per un sito WordPress live, è consigliabile che l'utente del database abbia solo i privilegi necessari. Di norma, i privilegi come SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER e INDEX sono sufficienti. È rischioso utilizzare utenti con ampia autorizzazione che accedono a tutti i database nella configurazione di WordPress.

Approccio corretto sul prefisso delle tabelle

Il prefisso delle tabelle predefinito di WordPress è wp_. Utilizzare un valore diverso e casuale per questo nelle nuove installazioni rende più difficile per gli strumenti di attacco automatici svolgere il loro lavoro. Ad esempio, si potrebbe optare per un prefisso breve ma difficile da indovinare, come hr7x_ invece di wp_. Tuttavia, cambiare il prefisso delle tabelle in un sito esistente non si limita a modificare il valore table_prefix in wp-config.php; anche i nomi delle tabelle nel database e alcuni record usermeta devono essere aggiornati.

Pertanto, se intendi cambiare il prefisso delle tabelle su un sito live, esegui prima un backup completo, prova l'operazione in un ambiente di staging se possibile e poi trasferiscilo nel live. Nelle nuove installazioni, utilizzare un prefisso diverso fin dall'inizio è più sicuro e meno rischioso.

Opzione per spostare il file wp-config.php al di fuori della directory radice

WordPress può leggere il file wp-config.php in alcune configurazioni del server anche un livello al di sopra della directory radice. Ad esempio, se i file di WordPress sono in public_html, il file wp-config.php può essere spostato in una directory superiore a public_html. Questo metodo riduce il rischio di accesso diretto tramite il web.

Tuttavia, questa applicazione potrebbe non funzionare allo stesso modo in tutti gli ambienti di hosting. Nei servizi di hosting condivisi, potrebbero esserci limiti ai permessi delle directory, alla struttura del pannello di controllo o alle politiche di sicurezza che rendono impossibile spostare il file nella directory superiore. Inoltre, chi si occuperà della manutenzione deve essere a conoscenza della posizione del file; altrimenti, il processo di debug potrebbe essere ritardato in futuro.

Controlla la struttura dei file del tuo provider di hosting prima di applicare questo metodo. Se stai utilizzando un hosting WordPress gestito, informati sulla struttura delle directory raccomandata dal loro team di supporto. Il contenuto guida al pannello di controllo hosting di Hostragons potrebbe essere utile per la corretta gestione delle directory e dei permessi.

Rafforza i permessi dei file e i diritti di scrittura

La sicurezza di wp-config.php non riguarda solo le costanti all'interno, ma anche i permessi a livello di sistema operativo per il file. Il consiglio generale è che il file wp-config.php non sia scrivibile da chiunque. Nella maggior parte degli ambienti di hosting basati su Linux, i permessi possono essere configurati a valori più ristretti come 400, 440 o 600. Quale valore funzionerà dipende dall'utente del server e dal modello di esecuzione PHP.

Un approccio pratico è: il file deve essere mantenuto con il permesso più basso possibile che non comprometta il funzionamento del sito. Non dovrebbero mai essere utilizzate impostazioni che consentono scritture aperte come 777. In alcuni ambienti, 644 funziona di default, ma in installazioni più sensibili si possono preferire valori di 600 o 440. Dopo le modifiche, il funzionamento del sito, il pannello di amministrazione e le schermate di aggiornamento dei plugin devono essere testati.

Inoltre, è importante limitare l'accesso al file wp-config.php a livello di server web. Nelle moderne infrastrutture di hosting, i file PHP non vengono mostrati come sorgenti dirette, ma in server mal configurati potrebbe sorgere un rischio. Perciò, avere un'infrastruttura di hosting affidabile è essenziale, tanto quanto i permessi dei file.

Gestisci in modo sicuro gli aggiornamenti automatici

Il nucleo di WordPress, i plugin e i temi ricevono regolarmente aggiornamenti di sicurezza. Puoi gestire il comportamento degli aggiornamenti automatici in maniera limitata tramite wp-config.php. Dal punto di vista della sicurezza, in genere è consigliato mantenere attivi gli aggiornamenti automatici per le versioni minori, poiché di solito sono focalizzati sulla sicurezza e sulla correzione di bug.

Ad esempio, mantenere attivi gli aggiornamenti minori nel nucleo di WordPress riduce i ritardi di vulnerabilità conosciute. Tuttavia, le transizioni a versioni maggiori possono richiedere test per la compatibilità di temi e plugin. Pertanto, il metodo più efficace nei siti aziendali è: mantenere attive le patch di sicurezza automatizzate, testare gli aggiornamenti maggiori in un ambiente di staging e solo successivamente implementarli nella versione live.

Nella strategia di aggiornamento puoi seguire tre regole fondamentali: prima il backup, poi il test, infine l'applicazione nella live. Questo semplice ordinamento stabilisce il giusto equilibrio tra sicurezza e continuità.

Controlla il limite di memoria PHP e il consumo delle risorse

Nel file wp-config.php, puoi definire la quantità di memoria che WordPress può utilizzare utilizzando i valori WP_MEMORY_LIMIT e WP_MAX_MEMORY_LIMIT. Anche se queste impostazioni non sembrano immediatamente correlate alla sicurezza, sono importanti negli attacchi al consumo delle risorse, in caso di plugin non ottimizzati e durante operazioni amministrative intensive.

Per esempio, un blog piccolo di solito può funzionare bene con 128M, mentre i negozi WooCommerce o i siti multilingue potrebbero aver bisogno di 256M. Tuttavia, aumentare eccessivamente il limite di memoria può causare un maggiore consumo di risorse da parte di un plugin errato e ridurre le prestazioni del server. Il valore corretto dovrebbe essere valutato in base al traffico del sito, al numero di plugin e alle risorse del pacchetto di hosting.

Se ricevi frequentemente errori di memoria, invece di alzare semplicemente il limite, investigane la causa. Plugin pesanti, query non ottimizzate, versioni obsolete di PHP o pacchetti di hosting inadeguati possono essere la causa. Dovresti considerare sia prestazioni che sicurezza insieme. I contenuti ottimizzazione delle prestazioni di WordPress e pacchetti di hosting ad alte prestazioni offrono opportunità di collegamento naturale.

Mantieni sicure le directory temporanee e i comportamenti di caricamento

In alcuni ambienti di hosting, WordPress mantiene file temporanei nelle directory di sistema predefinite. Questo è normale; tuttavia, directory comuni con permessi errati possono presentare un rischio di sicurezza. Attraverso wp-config.php, è possibile definire WP_TEMP_DIR per specificare la directory in cui WordPress utilizzerà i file temporanei.

Se intendi utilizzare questo metodo, assicurati che la directory sia chiusa all'accesso pubblico, con permessi di scrittura controllati e accessibile solo dall'utente del sito pertinente. In particolare, le directory temporanee vengono frequentemente utilizzate durante il caricamento dei file, l’elaborazione dei media e gli aggiornamenti dei plugin. Una directory temporanea mal configurata può causare errori di caricamento o rischi di fuga di file.

Nelle installazioni WordPress che utilizzano una struttura a più siti, sottodomini o sottodirectory, i valori del cookie e dell'URL del sito diventano più critici. Una definizione errata del cookie potrebbe causare che le sessioni risultino valide in sottodomini inaspettati o in loop di login. Per motivi di sicurezza, l'ambito dei cookie per ogni architettura del sito dovrebbe essere limitato al minimo necessario.

Ad esempio, strutture come admin.example.com, shop.example.com e blog.example.com dovrebbero avere una definizione chiara se i cookie saranno validi in tutti i sottodomini o solo in un particolare dominio. Un ambito di cookie eccessivamente ampio aumenta la possibilità che una vulnerabilità in un sottodominio influisca sulle sessioni di altri domini.

Se utilizzi più siti, esamina i valori delle costanti multisite, le impostazioni di domain mapping e la configurazione di SSL in wp-config.php. È importante anche pianificare bene il dominio e SSL in tali progetti. gestione di domini multipli e certificato SSL wildcard possono essere collegamenti pertinenti qui.

Checklist di sicurezza applicabile per wp-config.php

Puoi controllare periodicamente la seguente lista nel tuo sito WordPress live. È una buona abitudine rivedere questa lista, specialmente dopo l'installazione di nuovi plugin, modifiche di tema, migrazioni di server e tentativi di accesso sospetti.

  • È conservata una copia di backup aggiornata del file wp-config.php in un luogo sicuro?
  • Le chiavi di sicurezza e i valori salt sono unici e casuali?
  • È attivo DISALLOW_FILE_EDIT?
  • WP_DEBUG è disattivato o in modalità di registrazione sicura nel sito live?
  • Il pannello di amministrazione funziona obbligatoriamente tramite HTTPS?
  • L'utente del database non ha autorizzazioni non necessarie?
  • Il prefisso delle tabelle è diverso dal wp_ predefinito per nuove installazioni?
  • I permessi dei file non contengono valori pericolosi come 777?
  • Le aggiornamenti di sicurezza automatici sono attivati in modo controllato?
  • Il tuo account di hosting ha configurazioni corrette per SFTP, backup e SSL?

Errori comuni e modi per evitarli

L'errore più comune su wp-config.php consiste nell'aggiungere pezzi di codice trovati in rete senza capirne la funzione. Non tutti i siti WordPress hanno lo stesso server, tema, plugin e struttura del traffico. Pertanto, un'impostazione che funziona senza problemi su un sito potrebbe causare problemi di sessione o errori di aggiornamento su un altro sito.

Il secondo errore comune è mantenere aperto l'output di debug su un sito live. Questa situazione può disturbare l'esperienza dell'utente e causare perdite di informazioni tecniche. Il terzo errore è lasciare un backup del file wp-config.php nella directory radice web, con nomi come wp-config-backup.php o wp-config-old.php. Questi file possono essere scaricati in testo normale su configurazioni di server errate. I backup devono essere mantenuti in aree chiuse all'accesso web.

Il quarto errore consiste nel cambiare i permessi dei file a 777 per risolvere un problema e poi non ripristinarli. Anche se questo sembra risolvere temporaneamente il problema, è estremamente pericoloso dal punto di vista della sicurezza. Il quinto errore è attivare FORCE_SSL_ADMIN senza un'installazione SSL; ciò può causare problemi di accesso al pannello di amministrazione.

Come impostare un livello di sicurezza professionale per WordPress?

Il rinforzo di wp-config.php è un passo importante, ma da solo non garantisce la sicurezza totale. Un approccio alla sicurezza professionale deve essere stratificato. È fondamentale considerare un isolamento di hosting robusto, un PHP aggiornato, un firewall per applicazioni web, un SSL affidabile, backup regolari, un account amministrativo limitato, autenticazione a due fattori e monitoraggio dei log.

Ad esempio, quando un attaccante cerca di sfruttare una vulnerabilità di un plugin, il livello WAF può bloccare la richiesta. Se una password utente viene compromessa, l'autenticazione a due fattori entra in gioco. Se si verifica una modifica ai file, il backup può essere ripristinato rapidamente. Il file wp-config.php è un punto cruciale per la configurazione e la limitazione in questa catena.

Se stai creando un nuovo sito WordPress, vai subito sul sicuro: pianifica un forte dominio e SSL, scegli un hosting sicuro, cambia il prefisso delle tabelle predefinito, crea chiavi salt uniche, disabilita la modifica dei file nel pannello e attiva backup regolari. Questi passaggi fondamentali possono prevenire molteplici problemi futuri.

Conclusione: Piccole impostazioni, grande impatto sulla sicurezza

Le impostazioni avanzate di sicurezza che possono essere effettuate con il file wp-config.php di WordPress offrono misure pratiche ed efficaci per ridurre la superficie di attacco del tuo sito. Rinnovo delle chiavi, disattivare la modifica dei file, nascondere l'output di debug, rendere obbligatorio SSL, limitare i diritti del database e rafforzare i permessi dei file sono tutti passi che offrono un alto beneficio per la maggior parte dei siti WordPress.

Quando applichi queste impostazioni, non avere fretta: esegui un backup, apporta modifiche una per una e testa ogni passaggio. Una configurazione sicura, un'infrastruttura di hosting corretta e una manutenzione regolare rendono il tuo sito WordPress molto più resistente. Se hai in programma di progettare un'infrastruttura più sicura e sostenibile, puoi esplorare le soluzioni di hosting WordPress, certificato SSL e registrazione dominio di Hostragons per identificare il punto chiave di inizio per le tue esigenze.

Domande frequenti

È sicuro modificare il file wp-config.php?

Sì, è sicuro se fai un backup corretto e applichi le modifiche in modo controllato. Tuttavia, un singolo errore di battitura può influenzare l'accesso al sito. È quindi importante prima eseguire un backup del file e del database, quindi testare le impostazioni singolarmente.

Cosa succede se cambio le chiavi salt nel file wp-config.php?

Tutte le sessioni utente attive vengono terminate e gli utenti devono effettuare nuovamente il login. Questa operazione non elimina contenuti né distrugge il database. È un passo rapido consigliato in caso di accesso sospetto, rischio di account amministratore o violazione della sicurezza.

Deve rimanere attivo WP_DEBUG su un sito live di WordPress?

No. Se WP_DEBUG rimane attivo sul sito live, i messaggi di errore possono rivelare informazioni tecniche ai visitatori. L'approccio sicuro è non mostrare errori sullo schermo e utilizzare registrazione controllata solo in caso di necessità temporanee.

DISALLOW_FILE_EDIT blocca gli aggiornamenti di plugin e temi?

No, DISALLOW_FILE_EDIT disattiva solo l'editor dei file nel pannello di controllo. Gli aggiornamenti dei plugin e dei temi procedono normalmente. Per bloccare anche gli aggiornamenti, sono necessarie impostazioni diverse e più restrittive.

Quali dovrebbero essere i permessi del file wp-config.php?

Questo varia a seconda della configurazione del server; però l'obiettivo è mantenere il file con il valore minimo di permesso che non comprometta il funzionamento. Non dovrebbero mai essere utilizzati valori come 777. Nella maggior parte degli ambienti, 600, 440 o 644 possono funzionare; il sito e il pannello devono essere testati dopo la modifica.

Condividi questo articolo:

Team Hostragons

Guide aggiornate dal nostro team di esperti su hosting, server e nomi di dominio. Troviamo insieme la soluzione ideale per il tuo progetto.

Contattaci