Post on 20-Jan-2017
Questa è una piccola guida per mettervi nelle condizioni di scegliere al meglio.
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No
Se non lo sai, SALLO
WordPress è insicuro, non scala e serve solo per fare blog -
Sì.Certo.Come.No
Se non lo sai, SALLO
SMAU - Milano 2016 26 ottobre
WordPress gestisce il 69% dei siti realizzati con CMS. Nonostante ciò, o forse proprio per questo, i venditori di altre soluzioni, spesso, invece di mettere in evidenza i punti di forza delle loro soluzioni, passano il loro tempo a parlare
male di WordPress. Questa è una piccola guida per mettervi nelle condizioni di scegliere al meglio.
Wolly aka
Paolo Valenti WordPress Italy
Wolly aka
Paolo Valentipaolovalenti.info
wpitaly.it wolly66@gmail.com
wolly@wpitaly.it skype:wolly66 twitter/wolly
facebook.com/wolly tel: 3932948156 (for women only)
Abbiamo 40 minuti
250 slide
Sono solo 249 slide
Non regge il trafficoSì, certo, come no.
wordpress.com
409 milioni di visitatori unici al mese
15,5 miliardi di pagine viste al mese
41,7 milioni di articoli al mese
60,5 milioni di commenti al mese
Alcuni miei clienti
55 milioni di pagine viste al mese
3 milioni di pagine viste al mese
– Wolly
“Lei ha un traffico maggiore da gestire?”.
Realizzate il vostro Wordpress Testarossa
Wordpress ed infrastruttura
Obiettivi 1) Velocità 2) Scalabilità 3) Sicurezza
✤ Gianluca Tresoldi ✤ 2006 Sviluppatore web ✤ 2008 Sistemista Linux ✤ 2011 Consulente Linux ✤ 2012 Netten (High performance WP hosting) ✤ 2014 Veedio (Video streaming & on-demand
platform) ✤ ✤ gianluca.tresoldi@netten.it
Today
WordPress Pilot
Cache, cache ed infine cache
Scalabilità ed affidabilità
Sicurezza● Il sistema sicuro non esiste. ● Obiettivo è rendere lo sforzo dell’attacco
superiore al guadagno dell’attacco riuscito. ● La sicurezza costa (implementazione,risorse di
calcolo,in genere complica le procedure). ● L’infrastruttura gioca un ruolo chiave nell’elevare
la sicurezza ad un basso costo. ● La sicurezza ha rilevanza etica. ● t
Qualche Numero...
563 Req/s Inst. 681 Req/s Avg. 465 Hit/s Inst. 633 Hit/s Avg.
Qualche altro numero
398 Mbit/s
Conclusioni
L’infrastruttura è fondamentale per far funzionare un qualunque servizio web.
Una sua cattiva progettazione o configurazione implica certamente un cattivo funzionamento del servizio.
Non è sicuroDavvero?
Sì!
NON èsicuro
ma
chiunque affermi che il proprio software
è sicuro
è INCOMPETENTE
o vi sta
TRUFFANDO
o tutte e due le
cose
La sicurezza non esiste
L’unico sistema veramente sicuro è spento, affogato in una bara di cemento, chiuso in un caveau sotteranneo, blindato e sorvegliato da guardie armate – e anche in quel caso continuo ad avere dei dubbi - Prof. Eugene Spafford – Purdue University
Il vero bugtra la sedia e la tastiera
System error
Le password
123456
password
12345678
qwerty
abc12334
Le password
123456789
111111
1234567
iloveyou
adobe12335
Sei sveglio?
Buongiorno, sono Marco del supporto tecnico.
Ciao Marco, dimmi.
Devi darmi il tuo username e password che dobbiamo fare degli aggiornamenti
username: pippo, password: pluto
Post -itUn’idea meravigliosa
Phishing - doppia autenticazione
38
Dear Gmail customer From now if you need more than 2 GB of space use this
invitation and upgrade your account to 100 GB of space also you can register one free domain name via this invitation
your account upgrade will done after 24 hours your invitation code is: http://gmailupgrades.com/Gmail-
Account-Upgrade/…/ Thank You
Gmail Support Department
–Wolly
“La (non)sicurezza è una forma mentis”.
(non) Sicurezza
piattaforma tecnologica
addestramento utenti
software applicativo
Fonti di rischio
Utenti
Server
Software applicativo
Temi e plugin
41
Server
ftp
phpmyadmin
LAMP
permessi
Un po’ di sicurezzail minimo indispensabile
regole base
Usare sempre la versione più recente di WordPress
Backup del database giornaliero
Backup dei file
Usare password forti We4_78Horz
44
regole base
Aggiornare i plugin
Eliminare i plugin inutilizzati
Scaricare temi solo da siti sicuri e conosciuti
45
ricordati sempre che:
Nessun Plugin è più importante della sicurezza del tuo blog
Nessun Tema è più importante della sicurezza del tuo blog
Non c’è nessun motivo valido per non aggiornare il tuo blog prontamente
46
Sì, lo so
In internet si trovano “tons of posts” con soluzioni magiche tipo quello di un tizio che mi ha chiesto un parere e gli ho risposto: hai scritto una marea di cagate, le cancellerei. Lui ha replicato: io non sono un esperto di sicurezza, le ho trovate su internet e mi sembra giusto pubblicarle!
Game, set, match.
47
I ruoli
Web designer: cura la grafica
Developer: installa, scrive codice sicuro, aggiorna
Sys admin: si occupa della configurazione della piattaforma hardware e si occupa di gestire la sicurezza globale.
48
Scelta dei plugin
Solo da autori noti e riconosciuti
Non basarsi sul numero dei download, il fatto che sia stato scaricato un milione di volte NON significa che un milione di persone lo hanno controllato, mail poet ne è un esempio, timbthumb è un altro esempio
i plugin sul repository di wordpress.org NON sono verificati
49
–wolly
“La sicurezza non esiste, non sentitevi mai sicuri”.
The WordPress Security Team
The WordPress Security Team is made up of approximately 25 experts including lead developers and security researchers — about half are employees of Automattic (makers of WordPress.com, the earliest and largest WordPress hosting platform on the web), and a number work in the web security field. The team consults with well-known and trusted security researchers and hosting companies.
Security through obscurity
Davvero il tuo software, quello sviluppato da te e che nessuno conosce è sicuro perché nessuno può leggere il
codice?
È più sicuro di un software sviluppato da centinaia di persone, utilizzato da milioni di persone?
È più sicuro di un software il cui codice viene vivisezionato ogni giorno da centinaia di migliaia di sviluppatori?
Bello questo unicorno, vero?
Serve solo per fare blogahahahahahahahahahahahahahahahahahahahahahahahaha
ahahahahahahahahahah
Alcune implementazioni
Piattaforma per sondaggi, focus group, idea management
E-commerce B2B 3 million products
Gestione newsletter con subscription
Gestione club per acquirenti prodotti culinari italiani in USA
Gestione comunicati stampa
Alcune implementazioni
Intranet HR
Intranet/extranet
Gestione supporto tramite ticket
Gestione eventi
–wolly
“Non realizzo un blog dal 2003, il mio”
–wolly
“Il fatto che tu non sappia come fare
NON
vuol dire che non si possa fare.”
And the winner is
La tecnologia è passeggera
–Wolly
“Investi sulle competenze delle persone”.
And the winner is
Se scegli il Wolly
Scegli la persona NON
la tecnologia
Scegli la competenza NON
le parole
Scegli la competenza NON
le immagini
Scegli chi ti dice come risolvere il tuo problema con la sua competenza
NON
chi ti parla di problemi, INVENTATI,
dei concorrenti
–Francesco Paolo Micozzi
“Se ci si concentra un attimo scopriremo che la nostra fortuna non arriverà dal criticare gli altri
perché fanno male qualcosa ma dal fare meglio qualcosa noialtri”.
All Websites Market share
Altri CMS 14%
NO CMS 54%
2%3%
WordPress 27%
WordPress Joomla Drupal NO CMS Altri CMS
Fonte:
CMS Market Share
WordPress 59%
Altri 30%
7%Drupal
5%
Drupal Joomla Altri WordPress
Fonte:
https://w3techs.com/technologies/overview/
content_management/all
Grazie a tuttiDomande?
L’associazione internazionale per la professionalità nel Web
Dal 1996 (in Italia dal 2000) è il riferimento di chi lavora nel Web, sia nel settore pubblico che privato.
http://www.iwa.it
partecipazioni internazionali
principali partecipazioni nazionali
Associazione professionisti Web (Legge 4/2013), promotrice norme UNI in materia di professionalità ICT.
Obiettivo di IWA è creare rete tra i soci, partecipare all'evoluzione della rete e divulgare conoscenza tramite i soci con eventi e iniziative.