Diffuso, Flessibile, Versatile, Sicuro? Come rendere Wordpress più sicuro con alcuni accorgimenti prevenendo

attacchi e intrusioni in rete correggendo oltre 50 punti critici.

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

«Una vigile e provvida paura è la madre della sicurezza» Edmund Burke

La grande diffusione di Wordpress tra i CMS

Questa grande diffusione ne fa purtroppo anche il principale obbiettivo degli attacchi in rete. Dopo ogni nuova release di Wordpress, gli sviluppatori comunicano pubblicamente quali falle di sicurezza sono state patchate, e queste informazioni vengono poi usate dagli hackers per attaccare i siti che non sono ancora stati aggiornati con l’ultima versione.

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

A quali problemi vado incontro se non mi proteggo? • Link SQL Injection: gli spammers, nella migliore delle ipotesi, possono riempire il nostro sito di

link* verso i loro siti di spam, spesso invisibili ma trovati e indicizzati da Google facendoci perdere rank e traffico fino ad essere penalizzati, il lungo lavoro che abbiamo fatto sui nostri siti può quindi essere vanificato in breve tempo. Può accadere anche di vedere il nostro database interamente cancellato e se non abbiamo una copia di backup sono dolori.

Cosa posso fare di concreto per proteggere il mio Wordpress?

*I link spam sono quasi sempre diretti verso siti di Gambling, Viagra ed altri medicamenti e siti a

carattere pornografico.

I consigli che da sempre sentiamo su come proteggersi sono quelli di aggiornare sempre all’ultima versione disponibile e fare regolari copie di backup del nostro database, ma questo è sufficiente? NO! NON è sufficiente perché esistono molti punti critici in Wordpress che consentono agli spammers di conoscere quasi tutto del nostro sistema, ricavare informazioni e quindi poi accedere, sfruttandone le vulnerabilità e fare ciò che vogliono. Bisogna quindi fare di tutto per rendere il nostro Wordpress il più ermetico possibile, vediamo come!

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

Oggi parleremo di questi argomenti:

1) Impostazioni base durante l’installazione di Wordpress

2) Come individuare e controllare i punti critici

3) Dimostrazione pratica dei plug-in utili

4) Altre verifiche sui permessi delle cartelle essenziali di Wordpress

5) Uso del firewall, alerts e protezione

6) Uso intelligente dei widgets con Widget logic

7) Tenere sotto controllo alcuni parametri dei nostri contenuti (SEO)

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

1) Partiamo dalle basi, il file config.php solo un promemoria senza voler essere ripetitivo ;-)

• Salatura dei cookies, generatore qui: https://api.wordpress.org/secret-key/1.1/salt/

• Prefisso delle tabelle del database

Standard= $table_prefix = ‘wp_'; Modificato= $table_prefix = 'deN6h_';

Sbagliato= define('DB_PASSWORD', ‘miosito');

• Password del database

Corretto= define('DB_PASSWORD', 'wPewb9G6');

• Creiamo uno user che non sia il solito ‘admin’ perché se non lo cambiamo, lo spammer conoscerà già la metà del nostro login.

• Cambiamo la directory per gli upload Standard= wp-content/uploads Corretto a= wp-content/custom-upload-directory

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

Attenzione anche a: • Consiglio vivamente di stare attenti nell’uso di temi gratuiti perché spesso contengono link e

codici nascosti, quindi meglio spendere 30/40 dollari per un buon tema a pagamento che rischiare di avere il sito pieno di schifezze.

• Disattivate ed eliminate i plug-in e i temi che non usate o che non sono realmente essenziali perché sono sempre possibili punti di intrusione.

• Esistono alcuni plug-in che possono darci una mano nell’individuazione e nella correzione dei punti critici, con pochi click possiamo rendere il nostro wordpress molto più sicuro.

Vediamone alcuni!

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

2) Individuare e correggere i punti critici • http://wordpress.org/plugins/better-wp-security/ Utilissimo plugin che ci consente di individuare facilmente i punti critici del nostro Wordpress e di

correggerli subito.

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

3)Controllare e correggere i permessi delle cartelle

• http://wordpress.org/plugins/wp-security-scan/

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

Installare un firewall

Consiglio l’installazione del Wordpress Firewall 2*: http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip

Una volta installato vi invierà degli alerts sulla vostra e-mail, indicandovi l’IP dell’attaccante e se lo vorrete potrete metterlo subito in blacklist. *( Lo sviluppo di questo plugin risulta interrotto, ma risulta ancora funzionante sulle ultime versioni di Wordpress, in ogni caso ne esistono anche altri)

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

Limitare le duplicazioni interne con Widget Logic http://downloads.wordpress.org/plugin/widget-logic.0.56.zip

http://codex.wordpress.org/Conditional_Tags http://wordpress.org/plugins/reveal-ids-for-wp-admin-25/ +

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

Controllare ottimizzazioni on page con Seo Pressor

www.seopressor.com

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

Riepilogo di alcuni plug-in utili per semplificarsi la vita

• http://wordpress.org/plugins/better-wp-security/ ottimo plug-in che individua e corregge impostazioni e permessi in automatico e ci consente di schedulare regolari backup del database.

• http://wordpress.org/plugins/wordpress-firewall-2/ firewall che protegge dagli attacchi e tentativi di intrusione più comuni.

• http://wordpress.org/plugins/wp-security-scan/ plug-in per verificare la correttezza dei permessi delle principali cartelle di Wordpress e altro.

• http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip Plug-in che protegge dalla maggior parte degli attacchi in rete verso il nostro Wordpress, anche se non più aggiornato, appare ancora funzionante sulle ultime release di Wordpress.

• http://www.blockcountryip.com/ Sito dove si possono avere le liste degli ip secondo la nazione che intendiamo limitare o bloccare del tutto, normalmente si bloccano le nazioni da dove provengono più attacchi ( naturalmente se non ci interessa ricevere traffico da quella zona )

• http://downloads.wordpress.org/plugin/widget-logic.0.56.zip Utile plugin che consente una intelligente gestione dei widget, consentendo di destinare menu ed elementi solo a specifiche pagine o post del sito.

• http://codex.wordpress.org/Conditional_Tags Pagina di Wordpress dove trovare i Conditional tags da usare con widget logic.

• http://ottodestruct.com/decoder.php pagina che consente di effettuare il reverse decoding di files criptati, serve appunto per vedere in chiaro il codice criptato se abbiamo sospetto sia malware.

• http://seopressor.com/ utile plug-in che serve a monitorare le ottimizzazioni e principali % on page.

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

Grazie a tutti!

I miei recapiti Gualtiero Santucci

E-mail: info@posizionamento-nei-motori.com – info@ranklab.it

Twitter: www.twitter.com/ranklabstudio

Facebook: https://www.facebook.com/pages/RankLab-Studio-SEO-Web-Agency/236003766413408

Linkedin: it.linkedin.com/pub/gualtiero-santucci/1/a73/b50

Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution