L’installazione di WordPress, il CMS più popolare e diffuso al momento, può essere effettuata manualmente oppure attraverso appositi script nell’area di gestione dell’hosting, il più popolare dei quali è Scriptacolous.

Per quanto riguarda la prima modalità, è possibile ed opportuno effettuare alcune modifiche al file wp-config.php che si trova nella cartella principale del pacchetto e contiene i parametri di base dell’installazione, a partire dai dati relativi al database.

Modificando questo file prima di caricarlo online ed avviare l’installazione, è possibile impostare tale parametri, alcuni dei quali richiederebbero procedure complesse per essere modificati in un momento successivo.

Vediamo quali sono le ottimizzazioni consigliate:

1) Prefisso delle tabelle

In un’installazione standard, le tabelle create nel database hanno come prefisso wp_ (a meno che lo script di installazione messo a disposizione dal fornitore di hosting sia impostato in modo tale da creare un prefisso diverso ad ogni installazione).
L’utilizzo del prefisso standard è considerato rischioso poiché l’hacker che dovesse cercare di accedere al server partirebbe da una base nota.
Va detto che questo elemento non è di certo quello più rilevante, nel senso che di solito i pirati informatici sfruttano altri tipi di debolezze per conquistare l’accesso alla piattaforma; trattandosi però di un intervento che non costa alcuna fatica, tanto vale metterlo in pratica.
Il prefisso delle tabella può contenere solo lettere, numeri e l’underscore; una lunghezza di 8/10 caratteri è più che adeguata.

Nel file wp-config.php avremo dunque qualcosa di simile:

$table_prefix = 'wp_jnh_2019';

Rammentiamo che l’uso di prefissi di tabella differenziati è requisito indispensabile per utilizzare 1 database per 2 o più installazioni di WordPress, pratica non consigliata ma accettabile in caso di siti non molto esigenti in termini di risorse.

Notiamo inoltre che è possibile modificare il prefisso delle tabelle successivamente all’installazione del pacchetto, tramite alcuni plugin di firewall e sicurezza del sito.
Si tratta però di operazioni non prive di rischi, onde per cui qualora si proceda in tale modo è necessario disporre di un backup aggiornato del database.

A proposito di siti WordPress e hacker, leggi questi articoli: https://lnx.instantwebsites.it/iwblog/?p=1851 e https://lnx.instantwebsites.it/iwblog/?p=1876

Continua a leggere→