Ormai gli hackerozzi della domenica sono sempre più inefficaci, dato che in quanto a sicurezza, la qualità globale dei cms come 
wordpress, joomla, eccc.. è sempre più alta. Ma ovviamente c’è qualcosa che si potrebbe fare per migliorarla un altro “pelino”.
Ci sono un paio di impostazioni da modificare, il problema è che la maggior parte degli hosting non danno accesso al file php.ini in cui bisognerebbe fare le seguenti modifiche, ma se siete tra i pochi eletti che hanno la fortuna di avere un hosting che rispetta la vostra “integgilenza” e libertà controllate il valore delle seguenti variabili nel suddetto file:
allow_url_fopen
è raccomandabile che questa variabile sia settata su OFF per motivi di sicurezza. Se impostata su ON, consente alle funzioni php quali include, require, e file_get_contents(), di ricevere dati da locazioni remote (siti web o ftp ad esempio). In effetti un gran numero di vulnerabilità da code injection sono causate dalla combinazione tra allow_url_fopen abilitato e da un input filtering malevolo.
allow_url_include
Anche questo dovrebbe stare sempre su off, in quanto disabilita l’accesso remoto tramite include e require, che sono i più comuni metodi d’attacco da code injection.
display_errors
Anche questo dovrebbe stare sempre su off, se è su on significa che tutti gli errori di php vengono mostrati. Non sembrerebbe una cosa cattiva.. se non fosse però che assieme agli errori vengono mostrate tante (troppe) informazioni sensibili (percorsi, querie al database e chi più ne ha più ne metta)
magic_quotes_gpc
Indovinate un pò? anche questo deve stare su off :D
register_globals
Che questo deve stare su off ormai lo sanno pure i polli, chiunque abbiastudiato un minimo di programmazione ad oggetti sa che una variabile pubblica, se non necessaria, è IL MALE.
ServerSignature
Per finire e giusto per non smentirci anche questo deve stare su OFF. Dareste mai ad uno sconosciuto il calco della vostra chiave? non credo, infatti questo previene dall’esporre alla rete tutte le informazioni riguardanti il server (che tanti mettono in bella mostra) cosi che con una minima ricerca su google chiunque può trovare quali vulnerabilità ha quella specifica versione del software.
è tutto, fate sonni tranquilli, il vostro bbbblog è in buone mani adesso ;)