docs: update README and .gitignore for automated setup

- .gitignore: remove .gitkeep exception, ignore wg-data/ entirely and
  fix stale comment (directory is generated by the container, not
  created manually)
- README: document init container behaviour in setup step 4, update
  project structure (wg0.json -> wg-easy.db), align security section

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

.gitignore

@@ -1,6 +1,6 @@
 # Variabili locali — contiene segreti, non committare mai
 .env
 
-# Directory WireGuard — auto-generata dal container al primo avvio.
+# Directory WireGuard — generata dal container al primo avvio.
 # Contiene chiavi crittografiche private. Non committare mai.
 wg-data/

README.md

@@ -47,6 +47,8 @@ Inoltra la porta **UDP 51820** (o quella scelta in `WG_PORT`) verso l'IP locale
 docker compose up -d
 ```
 
+Al primo avvio, un init container crea automaticamente `wg-data/` con permessi `700` prima che wg-easy scriva le chiavi private.
+
 ### 5. Completa il setup dalla web UI
 
 ```
@@ -66,9 +68,9 @@ vpn/
 ├── .env                 # Variabili locali (NON committato)
 ├── .gitignore
 ├── README.md
-└── wg-data/             # Generato automaticamente dal container (NON committato)
-    ├── wg0.conf         # Configurazione WireGuard
-    └── wg0.json         # Stato interno wg-easy (peer, chiavi)
+└── wg-data/             # Generato dal container al primo avvio (ignorato da git)
+    ├── wg0.conf         # Configurazione WireGuard con chiavi private
+    └── wg-easy.db       # Database interno wg-easy
 ```
 
 ---
@@ -86,6 +88,5 @@ docker compose up -d
 
 ## Sicurezza
 
-- `wg-data/` contiene chiavi crittografiche private. Non committarla mai su Git.
+- `wg-data/` contiene chiavi crittografiche private ed è completamente ignorata da git. I permessi `700` vengono impostati automaticamente dall'init container al primo avvio.
 - `.env` contiene variabili locali specifiche del server. Non committarlo.
-- Entrambi sono esclusi da `.gitignore`.