Un importante fix di sicurezza per WordPress

WordPress, di suo, non chiede di eliminare il file di installazione wp-admin/install.php, come invece fanno gli altri CMS. Per ovviare a possibili problemi di sicurezza, ecco come fare per mettersi al sicuro.

Ho appena letto sul blog di Jeff Starr di una per nulla simpatica esperienza accadutagli in questi giorni, che lui racconta in Important Security Fix for WordPress. In breve, gli crasha il server e, collegandosi al suo indirizzo, anziché visualizzare la generica schermata di “Error establishing a database connection”, WordPress gli fa visualizzare la schermata di installazione di WordPress! Questo significa che chiunque in quel momento può reinstallare una copia di WordPress nel database. Nel caso di Jeff, 100 visitatori hanno visualizzato quella pagina e qualcuno ne ha anche approfittato.

In attesa di un fix definitivo, Jeff dà tre consigli diversi su come mettere una momentanea (ma efficace) pezza al problema. È sufficiente cancellare il file wp-admin/install.php, che non serve a nient’altro dopo che WordPress è stato installato. È la soluzione che ho adottato subito io, sebbene la terza sia molto intrigante (il server vi manda una mail se ci sono problemi col database). D’altra parte, altri software basati su PHP richiedono all’amministratore – prima di poter usare il pacchetto – di cancellare il file di installazione o l’intera directory di installazione.

Fatelo senza pensarci due volte. Meglio prevenire… e occhio a quale file cancellate! :) Se volete, potete optare per rinominarlo, ma dategli un nome che non sia facilmente indovinabile.

Autore: Aldo Latino

Aldo Latino usa con entusiasmo Linux nella distribuzione Ubuntu, è un appassionato di WordPress e si diletta a fare il blogger. Ha anche una lista dei desideri. Per altre informazioni visita la sua .

7 pensieri riguardo “Un importante fix di sicurezza per WordPress”

  1. Ciao! quindi da quanto dici il problema di quella schermata è del server… avevo questo dubbio e ora invece mi è tutto chiaro. Avendo l’hosting su register non mi fan fare + di tot query al minuto e quindi si blocca tutto. Quando ci lavoro per un’oretta doo mi compare sempre quella schermata..
    Grazie del’importante cosiglio, ho rimosso il file, e cambierò presto il server :)

    1. Se per un motivo X il server va in palla, può apparire la schermata di installazione, ma non è detto che lo faccia, come riferisce Jeff. Se spunta son problemi enormi. Quindi meglio cancellare quel file, inutile ormai, visto che WordPress è installato.

      Per il tuo server: hai provato Aruba? Te lo consiglio perché non trovo limitazioni particolari e comunque per i miei bisogni (e per quelli di tanti altri) va più che bene. E poi è veramente economico.

      1. Ciao, in realtà sto aspettando luglio quando mi scade l’anno con register, mi preoccupa un po il trasferimento del server (non sono di certo un tecnico) ma dovrei essere in grado :) ad ogno modo adesso ho comprato un altro dominio a prezzi stracciati su http://misterdomain.eu e vedo un po come va, altrimenti passo sicuramente ad aruba. Grazie dei consigli!

I commenti sono chiusi