Quando si effettua un login in un qualsiasi sito abbastanza professionale di solito (anche se ahimè non sempre) la trasmissione del nome utente e della password non avvengono in chiaro ma attraverso una connessione crittografata con HTTPS.
Questo però non avviene di default sui siti caserecci.
Per forzare un redirect da HTTP a HTTPS avendo l’Apache Web Server, si può impostare questa regola del mod_rewrite sia attraverso la configurazione standard che attraverso il file .htaccess (in questo caso dopo aver ovviamente abilitato la direttiva AllowOverride All nella relativa directory).
-
<IfModule mod_rewrite.c>
-
RewriteEngine On
-
RewriteCond %{HTTPS} off
-
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
-
</IfModule>
Diviene molto utile se combinato con phpLDAPadmin (phpMyAdmin invece già include una tecnica simile attivabile dalle impostazioni).
Per Wordpress il discorso è diverso: esiste infatti il plugin Admin SSL il quale provvede a costringere solamente il traffico “sensibile” a passare attraverso una strada sicura lasciando il blog fruibile tramite una normale connessione in chiaro. Il tutto in pochi click!
Tags: blog, guide, linux, plugin, sicurezza, ssl