Come spostare e rinominare la cartella wp-content di WordPress per difenderla da attacchi
In WordPress la cartella wp-content è una specie di scrigno, al suo interno ci sono temi e i plugin che magari avete pure pagato, i files di linguaggio che avete tradotto voi perdendoci un sacco di tempo, tutte le immagini che avete caricato, i temi child che vi sono costati tanta fatica e perderla o vedersela manomessa da qualche buontempone sarebbe una vera catastrofe, quindi per rendere più sicuro il nostro WoprdPress possiamo anche spostarla da un’altra parte e come ciliegina sulla torta cambiare anche il suo nome tanto per confondere ed intorbidare un po’ le acque e rendere più difficile la vita a quei ragazzi dispettosi che vagano in rete senza nulla di meglio da fare.
Vediamo come fare a mettere al sicuro la cartella wp-content in pochi passi
Intanto vi consiglio di testare questo metodo su una installazione locale di WordPress per essere certi di non fare incartare un sito di produzione o peggio quello di un cliente, poi aprite il solito file wp-config.php e subito al di sopra della riga che dice:
/* Finito. Interrompere le modifiche! Buon blogging. */
Inserite queste righe di codice:
/* percorso locale completo alla directory (senza slash finale) */
define( 'WP_CONTENT_DIR', ABSPATH . 'shadow/alias' );
/* URI completo della directory (senza slash finale) */
define( 'WP_CONTENT_URL', 'http://www.miosito.it/shadow/alias');
dove al posto di shadow/alias metterete i nomi scelti da voi per la cartella in cui nasconderete i contenuti (shadow) e la vostra cartella wp-content rinominata (alias).
Accedete quindi via FTP alla directory radice del vostro WordPress e create la “cartella ombra” col nome che avete scelto e spostate tutta la cartella wp-content al suo interno quindi rinominate la cartella wp-content col nome che avete inserito in wp_config.php, incrociate le dita e andate a verificare che il sito ci sia ancora e se è andato tutto bene fate ancora un altro passo di sicurezza perché non è saggio mettere le cose in cassaforte e poi lasciare in giro un foglietto con su scritta la combinazione.
Come proteggere il file wp-config.php
Aprite il file .htaccess ed aggiungete questa regola:
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
Adesso siete “quasi” sicuri di non trovarvi i ladri in casa visto che non solo avete sbarrato porte e finestre e nascosto i preziosi, ma se avete fatto anche quello che ho scritto in questo precedente post, avete persino fatto sparire casa, immaginate la faccia che potrebbero fare dei ladri che vanno a rubare in una villa e trovano solo un giardino vuoto, questo è quello che dovrebbe capitare a chi cerca di allungare le mani sul vostro WordPress.
Prima che vi lanciate i queste acrobazie è sempre consigliabile farsi un grasso backup, magari seguendo le procedure riportate in questo post. Ah.. Dimenticavo.. Sbizzarritevi pure con i nomi da dare alla “cartella ombra” e alla cartella wp-content però cercate di non dimenticarli altrimenti sarete voi a non trovare più nulla..