Questa è una piccola guida per mettervi nelle condizioni di scegliere al meglio.

WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No

Se non lo sai, SALLO

WordPress è insicuro, non scala e serve solo per fare blog -

Sì.Certo.Come.No

Se non lo sai, SALLO

SMAU - Milano 2016 26 ottobre

WordPress gestisce il 69% dei siti realizzati con CMS. Nonostante ciò, o forse proprio per questo, i venditori di altre soluzioni, spesso, invece di mettere in evidenza i punti di forza delle loro soluzioni, passano il loro tempo a parlare

male di WordPress. Questa è una piccola guida per mettervi nelle condizioni di scegliere al meglio.

Wolly aka

Paolo Valenti WordPress Italy

Wolly aka

Paolo Valentipaolovalenti.info

wpitaly.it wolly66@gmail.com

wolly@wpitaly.it skype:wolly66 twitter/wolly

facebook.com/wolly tel: 3932948156 (for women only)

Abbiamo 40 minuti

250 slide

Sono solo 249 slide

Non regge il trafficoSì, certo, come no.

wordpress.com

409 milioni di visitatori unici al mese

15,5 miliardi di pagine viste al mese

41,7 milioni di articoli al mese

60,5 milioni di commenti al mese

Alcuni miei clienti

55 milioni di pagine viste al mese

3 milioni di pagine viste al mese

– Wolly

“Lei ha un traffico maggiore da gestire?”.

Realizzate il vostro Wordpress Testarossa

Wordpress ed infrastruttura

Obiettivi 1) Velocità 2) Scalabilità 3) Sicurezza

✤ Gianluca Tresoldi ✤ 2006 Sviluppatore web ✤ 2008 Sistemista Linux ✤ 2011 Consulente Linux ✤ 2012 Netten (High performance WP hosting) ✤ 2014 Veedio (Video streaming & on-demand

platform) ✤ ✤ gianluca.tresoldi@netten.it

Today

WordPress Pilot

Cache, cache ed infine cache

Scalabilità ed affidabilità

Sicurezza● Il sistema sicuro non esiste. ● Obiettivo è rendere lo sforzo dell’attacco

superiore al guadagno dell’attacco riuscito. ● La sicurezza costa (implementazione,risorse di

calcolo,in genere complica le procedure). ● L’infrastruttura gioca un ruolo chiave nell’elevare

la sicurezza ad un basso costo. ● La sicurezza ha rilevanza etica. ● t

Qualche Numero...

563 Req/s Inst. 681 Req/s Avg. 465 Hit/s Inst. 633 Hit/s Avg.

Qualche altro numero

398 Mbit/s

Conclusioni

L’infrastruttura è fondamentale per far funzionare un qualunque servizio web.

Una sua cattiva progettazione o configurazione implica certamente un cattivo funzionamento del servizio.

Non è sicuroDavvero?

Sì!

NON èsicuro

ma

chiunque affermi che il proprio software

è sicuro

è INCOMPETENTE

o vi sta

TRUFFANDO

o tutte e due le

cose

La sicurezza non esiste

L’unico sistema veramente sicuro è spento, affogato in una bara di cemento, chiuso in un caveau sotteranneo, blindato e sorvegliato da guardie armate – e anche in quel caso continuo ad avere dei dubbi - Prof. Eugene Spafford – Purdue University

Il vero bugtra la sedia e la tastiera

System error

Le password

123456

password

12345678

qwerty

abc12334

Le password

123456789

111111

1234567

iloveyou

adobe12335

Sei sveglio?

Buongiorno, sono Marco del supporto tecnico.

Ciao Marco, dimmi.

Devi darmi il tuo username e password che dobbiamo fare degli aggiornamenti

username: pippo, password: pluto

Post -itUn’idea meravigliosa

Phishing - doppia autenticazione

38

Dear Gmail customer From now if you need more than 2 GB of space use this

invitation and upgrade your account to 100 GB of space also you can register one free domain name via this invitation

your account upgrade will done after 24 hours your invitation code is: http://gmailupgrades.com/Gmail-

Account-Upgrade/…/ Thank You

Gmail Support Department

–Wolly

“La (non)sicurezza è una forma mentis”.

(non) Sicurezza

piattaforma tecnologica

addestramento utenti

software applicativo

Fonti di rischio

Utenti

Server

Software applicativo

Temi e plugin

41

Server

ftp

phpmyadmin

LAMP

permessi

Un po’ di sicurezzail minimo indispensabile

regole base

Usare sempre la versione più recente di WordPress

Backup del database giornaliero

Backup dei file

Usare password forti We4_78Horz

44

regole base

Aggiornare i plugin

Eliminare i plugin inutilizzati

Scaricare temi solo da siti sicuri e conosciuti

45

ricordati sempre che:

Nessun Plugin è più importante della sicurezza del tuo blog

Nessun Tema è più importante della sicurezza del tuo blog

Non c’è nessun motivo valido per non aggiornare il tuo blog prontamente

46

Sì, lo so

In internet si trovano “tons of posts” con soluzioni magiche tipo quello di un tizio che mi ha chiesto un parere e gli ho risposto: hai scritto una marea di cagate, le cancellerei. Lui ha replicato: io non sono un esperto di sicurezza, le ho trovate su internet e mi sembra giusto pubblicarle!

Game, set, match.

47

I ruoli

Web designer: cura la grafica

Developer: installa, scrive codice sicuro, aggiorna

Sys admin: si occupa della configurazione della piattaforma hardware e si occupa di gestire la sicurezza globale.

48

Scelta dei plugin

Solo da autori noti e riconosciuti

Non basarsi sul numero dei download, il fatto che sia stato scaricato un milione di volte NON significa che un milione di persone lo hanno controllato, mail poet ne è un esempio, timbthumb è un altro esempio

i plugin sul repository di wordpress.org NON sono verificati

49

–wolly

“La sicurezza non esiste, non sentitevi mai sicuri”.

The WordPress Security Team

The WordPress Security Team is made up of approximately 25 experts including lead developers and security researchers — about half are employees of Automattic (makers of WordPress.com, the earliest and largest WordPress hosting platform on the web), and a number work in the web security field. The team consults with well-known and trusted security researchers and hosting companies.

Security through obscurity

Davvero il tuo software, quello sviluppato da te e che nessuno conosce è sicuro perché nessuno può leggere il

codice?

È più sicuro di un software sviluppato da centinaia di persone, utilizzato da milioni di persone?

È più sicuro di un software il cui codice viene vivisezionato ogni giorno da centinaia di migliaia di sviluppatori?

Bello questo unicorno, vero?

Serve solo per fare blogahahahahahahahahahahahahahahahahahahahahahahahaha

ahahahahahahahahahah

Alcune implementazioni

Piattaforma per sondaggi, focus group, idea management

E-commerce B2B 3 million products

Gestione newsletter con subscription

Gestione club per acquirenti prodotti culinari italiani in USA

Gestione comunicati stampa

Alcune implementazioni

Intranet HR

Intranet/extranet

Gestione supporto tramite ticket

Gestione eventi

–wolly

“Non realizzo un blog dal 2003, il mio”

–wolly

“Il fatto che tu non sappia come fare

NON

vuol dire che non si possa fare.”

And the winner is

La tecnologia è passeggera

–Wolly

“Investi sulle competenze delle persone”.

And the winner is

Se scegli il Wolly

Scegli la persona NON

la tecnologia

Scegli la competenza NON

le parole

Scegli la competenza NON

le immagini

Scegli chi ti dice come risolvere il tuo problema con la sua competenza

NON

chi ti parla di problemi, INVENTATI,

dei concorrenti

–Francesco Paolo Micozzi

“Se ci si concentra un attimo scopriremo che la nostra fortuna non arriverà dal criticare gli altri

perché fanno male qualcosa ma dal fare meglio qualcosa noialtri”.

All Websites Market share

Altri CMS 14%

NO CMS 54%

2%3%

WordPress 27%

WordPress Joomla Drupal NO CMS Altri CMS

Fonte:

CMS Market Share

WordPress 59%

Altri 30%

7%Drupal

5%

Drupal Joomla Altri WordPress

Fonte:

https://w3techs.com/technologies/overview/

content_management/all

Grazie a tuttiDomande?

L’associazione internazionale per la professionalità nel Web

Dal 1996 (in Italia dal 2000) è il riferimento di chi lavora nel Web, sia nel settore pubblico che privato.

http://www.iwa.it

partecipazioni internazionali

principali partecipazioni nazionali

Associazione professionisti Web (Legge 4/2013), promotrice norme UNI in materia di professionalità ICT.

Obiettivo di IWA è creare rete tra i soci, partecipare all'evoluzione della rete e divulgare conoscenza tramite i soci con eventi e iniziative.