La prima soluzione presentata in questo capitolo permette di bloccare l’hotlinking e può essere implementata su qualsiasi sistema Apache. La seconda richiede invece l’utilizzo del file wp-config.php ed è specifica delle istallazioni di WordPress.

Bloccare l’hotlinking

L’hotlinking è la pratica di incorporare una risorsa all’interno di una pagina web, normalmente un’immagine che risiede su server esterno. All’hotlinking si ricorre, per esempio quando si incorpora nelle pagine un’immagine o un video da Flickr o YouTube.

È una pratica utile soprattutto per risparmiare banda perché la risorsa viene caricata dal server che la ospita e non dal server su cui risiede la pagina web che la incorpora. Qualora non autorizzato l’hotlinking rappresenta un vero e proprio furto di banda e di contenuti, è quindi possibile impedirlo ricorrendo al mod_rewrite di Apache ed alle seguenti direttive:


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !miodominio\.it [NC]
RewriteCond %{HTTP_REFERER} !altrodominio\.com [NC]
RewriteCond %{HTTP_REFERER} !google\. [NC]
RewriteCond %{HTTP_REFERER} !search\?q=cache [NC]
RewriteRule \.(gif|jpe?g?|png|css|js)$ - [NC,F,L]
</IfModule>

La prima RewriteCond verifica che il referrer non sia vuoto. Le condizioni successive verificano che le richieste provengano da domini ammessi, tra i domini ammessi bisogna comprendere il proprio dominio. Se tutte le condizione sono verificate e il referrer è diverso dai domini ammessi, allora la RewriteRule impedisce il caricamento dei file il cui formato è stabilito dall’espressione regolare.

Il flag NC indica che la regola non è case sensitive, F stabilisce invece che debba essere restituito un errore 403 Forbidden e L stabilisce infine che il reindirizzamento è permanente.

Un’altra possibilità è quella di reindirizzare la richiesta verso una pagina di errore personalizzata, o verso un determinato indirizzo web. In questo modo viene restituita un’immagine diversa da quella richiesta:


RewriteRule \.(gif|jpe?g?|png)$ - http://miodominio.com/forbidden.gif [R,L]

Come nell’esempio visto in precedenza è bene permettere ai motori di ricerca di caricare le immagini inserendo tra le direttive anche la condizione:


RewriteCond %{HTTP_REFERER} !google\. [NC]

Richiedere l’autenticazione via SSL al login

Nel caso in cui si disponga di un certificato di crittografia si può forzare WordPress ad utilizzare il protocollo SSL per l’accesso al pannello di amministrazione. Per adottare questa misura occorre aggiungere al file wp-config.php la seguente costante:


define('FORCE_SSL_ADMIN', true);

In questo modo tutti i dati riferiti a sessioni del pannello di amministrazione transiteranno via SSL.