Come proteggere wp-config.php da hacker in WordPress

SEO tecnico / # / Febbraio 6, 2026
Come proteggere wp‐config.php dagli hacker nella guida di sicurezza di WordPress

Il file wp-config.php è il cuore del tuo sito WordPress — contiene le credenziali del database, chiavi di autenticazione e altre impostazioni sensibili. Se gli hacker lo accedono, possono prendere il controllo dell'intero sito, iniettare malware, rubare dati, o eliminare tutto. Con attacchi automatizzati che mirano a vulnerabilità note come i file di configurazione esposti, proteggere wp-config.php è un passo di sicurezza non negoziabile.

A Cope Business, ci assicuriamo sempre wp-config.php durante il nostro servizi tecnici di audit SEO e processi di indurimento del sito — è una delle prime cose che controlliamo per prevenire violazioni.

Questa guida spiega perché wp-config.php è un obiettivo, e fornisce metodi passo-passo per proteggerlo utilizzando autorizzazioni, .htaccess regole, plugin e best practice - il tutto senza conoscenze tecniche avanzate.

Perché Hackers Target wp-config.php e Perché proteggerlo?

  • Dati sensibili: Contiene nome utente/password del database, chiavi segrete per l'autenticazione
  • Accesso facile: Se le autorizzazioni sono sbagliate o il server è configurato male, è esposto
  • Vettore d'attacco comune: Bots scansione per wp-config.php da sfruttare
  • Conseguenze: Acquisizione completa del sito, furto di dati, danni SEO da malware

Proteggerlo riduce il rischio di 80–90 attacchi di base% from — combinare con password forti, 2FA e backup regolari per la piena sicurezza.

Metodo 1: Impostare le autorizzazioni di file sicure (più semplice ed essenziale)

Le autorizzazioni errate (ad esempio, 666 o 777) permettono a chiunque di leggere / modificare il file.

Permesso consigliato: 600 o 640

  • 600: Solo proprietario letto/scrittura
  • 644: Il proprietario legge/scrive, altri leggono solo (se il server lo richiede)

Passi

  1. Accedi al tuo sito tramite FTP (FileZilla) o hosting file manager (cPanel > File Manager).
  2. Trova wp-config.php nella cartella root.
  3. Fare clic con il tasto destro → Permessi di file o Cambiare le autorizzazioni.
  4. Immettere 600 (o 640 se 600 cause problemi).
  5. Controllare “Applicare a questo file solo” → Salva.
  6. Test: Il tuo sito dovrebbe funzionare; provare ad accedere al tuosite.com/wp-config.php — dovrebbe mostrare 403 Proibiti o vuoti.

Se si utilizza SSH/Terminal:

Bash

cd /path/to/wordpress/root
chmod 600 wp-config.php

Punti positivi: Veloce, senza plugin, protezione a livello server.
Punti negativi: Può essere necessario regolare su alcuni host (contattare il supporto se gli errori).

Metodo 2: Bloccare l'accesso con .htaccess (Protezione di forza)

Questo impedisce l'accesso diretto del browser a wp-config.php.

Passi (Apache Servers – Hosting più condiviso)

  • Apri .htaccess nella cartella radice (primo backup!).
  • Aggiungi questo codice in alto:
text<Files wp-config.php> order allow,deny deny from all </Files>
  • Salva.
  • Test: Accedi al tuosite.com/wp-config.php — 403 Errore proibito.

Per Server NGINX (VPS come DigitalOcean): Aggiungi alla configurazione del server (o chiedi all'host):

testo

location ~* ^/wp-config.php$ {
    deny all;
}

Punti positivi: Blocca l'accesso diretto, facile.
Punti negativi: Richiede .htaccess edit; non tutti gli host permettono.

Metodo 3: Utilizzare un Plugin di sicurezza (Automated & Comprehensive)

I plugin aggiungono strati extra come il monitoraggio e la protezione automatica.

Plugin consigliato: tutto in una sicurezza WP & Firewall (gratuito)

  1. Installazione Tutto su One WP Security & Firewall da Spine > Aggiungi nuovo.
  2. Attivare → Vai a Sicurezza WP > Firewall > Regole di base Firewall.
  3. Abilitare Proteggere il file wp-config.php (o simile in altri plugin).
  4. Salva — plugin aggiunge regole .htaccess automaticamente.

Plugin alternativo: Sucuri Sicurezza (gratuito) o Parola (free/pro) — entrambi hanno caratteristiche di protezione dei file.

Punti positivi: Automatico, comprende altri strumenti di sicurezza.
Punti negativi: Aggiunge un plugin (ma ne vale la pena per la piena sicurezza).

Migliori Pratiche aggiuntive per proteggere wp-config.php

  • Spostare wp-config.php — Posizionare una directory sopra root (WordPress auto-detects).
  • Aggiungi chiavi di sicurezza extra — Generare nuove chiavi di autenticazione in wp-config.php (usare WordPress.org generatore di chiavi).
  • Accesso ai database — Utilizzare un utente DB unico con privilegi limitati (non radice completa).
  • Backup regolari — Utilizzare UpdraftPlus per eseguire il backup wp-config.php e database.
  • Monitorare le modifiche — Utilizzare plugin di sicurezza per avvisare sulle modifiche dei file.
  • SEO Tip — Siti sicuri classificano meglio a lungo termine; coppia con ottimizzazioni di velocità.

Pensieri finali

Proteggere wp-config.php dagli hacker è un passo di sicurezza veloce ed essenziale — avviare con autorizzazioni sicure (600/640) e blocco .htaccess, quindi aggiungere un plugin come All in One WP Security per strati extra.

Un wp-config.php sicuro mantiene il tuo intero sito al sicuro.

Sperimentare le preoccupazioni di sicurezza o bisogno di un controllo di indurimento completo? Contatto Cope Business per una consultazione tecnica gratuita SEO — ci assicureremo il vostro wp-config.php, indurire il vostro intero sito, e ottimizzare per le prestazioni e la pace della mente.

Questo articolo è stato utile?
No

Articoli correlati