restare vivi e aggiornati nel business digitale

Mettiamo WordPress al sicuro

Flavius Florin HaraborQuesto speech vi permetterà di scoprire come potete avere un progetto basato sul CMS WordPress e non avere problemi di sicurezza

webadvisor.it

Introduzione

Quando si ha un forum, sito, blog oppure e-commerce, indipendentemente che questo sia realizzato con CMS tutto personale oppure sfruttando uno come WordPress, Joomla!, Drupal, Magento etc, si è sempre a rischio attacchi.

Gli attacchi esterni possono molto spesso compromettere alcune funzioni del vostro progetto o mettere definitivamente fuori uso l'intero progetto.

Fammi vedere che cosa trovo qua dentro!?!

A volte può capire

Ma anche ricapitare

Nooo...Come mai è successo tutto questo!?!

Te lo spiego io

Problemi e

Soluzioni

Spam

Partiamo dall'attacco più semplice, ma allo stesso tempo più snervante per chi amministra un progetto on-line.

Come ben sapete lo spam altro non è che della spazzatura o meglio contenuti indesiderati distribuiti sotto forma di commenti accompagnati da vari link, che non hanno nulla a che vedere con il vostro progetto.

Le Soluzioni● Potete decidere di bloccare i commenti sotto le pagine o gli articoli del vostro

progetto.

● Potete decidere la tipologia di utente che può commentare. Questo è possibili impostarlo dalle Impostazioni di WordPress > alla voce Discussione. Limitando e controllando chi commenta

● Potete utilizzare il plugin e il sistema di commenti Disqus (disqus.com).

● In più potete utilizzare il sistema e il plugin Akismet (akismet.com).

Messaggie

FormMessaggi indesiderati attraverso il form

Indipendentemente dalla tipologia di progetto realizzato con WordPress, tutti hanno una pagina dedicata ai contatti. Solitamente questa pagina contiene un form.

Però a volte capita che tra le mail che riceviamo attraverso il form, non siano richieste d'aiuto, ma bensì messaggi indesiderati.

Le soluzioni

Per difendersi da questa tipologia di attacco, si possono utilizzare plugin come:● SI CAPTCHA Anti-Spam ● Webdesignby Recaptcha.

Per chi non lo sapesse lo Scam è un tentativo di truffa on-line che utilizza tecniche di ingegneria sociale. In genere la tecnica dello scam avviene attraverso invio di e-mail nelle quali si promettono grossi guadagni o vincite.

Lo scam, a volte viene indicato e prende anche nome di "Scamming". In questo caso si riferisce al tentativo di furto di dati informatici sensibili, come le password di accesso a un portale da parte di malintenzionati, al fine di sottrarre o trasferire informazioni utili per il loro guadagno.

La tecnica dello scamming avvieni generalmente tramite l'uso di Fake Login, Fake Program, Keylogger, Cookie, o in alcuni casi anche attraverso Exploit e BruteForce.

Non solo Spam, ma anche Scam

Quando la tecnica dello scam colpisce un sito?

Questa tecnica, colpisce in primo luogo i siti WordPress che presentano installazioni datate, quindi non aggiornate all’ultima versione, contengono plugin con falle di sicurezza, mai aggiornati dagli sviluppatori oppure mai aggiornati dall'amministratore del progetto web. Alcune volte anche i template poco aggiornati, possono essere usati come porta di entrata.

Una volta preso il controllo del sito, i cracker installano apposite backdoor per garantirsi il controllo dell’installazione WordPres in caso di futuro aggiornamento, in modo da re-infettare il sito anche in caso di rimozione del malware.

Non solo Spam, ma anche Scam

Una volta installata la backdoor, questa si replicherà anche in altri punti del webserver, contagiando anche gli altri siti con WordPress ospitanti sulla stessa macchina, aumentando così la portata dell’attacco.

Oltre a voi, saranno i vostri utenti a farne le spese.

Non solo Spam, ma anche Scam

Ricorda

I tuoi virus, non sono e non restano tuoi, ma molto spesso cercano i tuoi utenti.

Quindi i virus che colpiscono i progetti realizzati conil CMS WordPress, possono trasformare i PC dei vostri utenti in un inferno senza uscita.

Ecco come difenderti

Difenditi

Difenditi dagli attacchi facendo copie di backup

Vi consiglio di creare più copie di backup del vostro sito e del relativo database. Salvate la copia di backup su server diversi, è ancor meglio se potete custodire una copia di backup offline, su hard disk o altro dispositivo di archiviazione abbastanza capiente da tenere tutto il vostro sito..

Tutti i giorni fino alla fine dei giorni

Questo lo si deve fare tutti i giorni:● Controllare e aggiornare il CMS WordPress● Controllare e aggiornare il template● Controllare e aggiornare i plugin installati● Togliere i plugin inutilizzati per molto tempo● Togliere i template che non vengono utilizzati● Cambiare l'URL alla pagina di login del sito● Utilizzare password forti● Non dare i permessi di amministratore a chiunque● Evitare di impostare admin come username dell’amministratore

Fare attenzione a tutto

Hai bisogno di un plugin, template o altro:● Controlla l'ultimo aggiornamento● Controlla la compatibilità con una delle ultimissime versioni di WordPress rilasciate ● Controlla se recentemente, è stato scoperto qualche bug per quel plugin● Controlla se il template ha una buona valutazione da parte de pubblico● Controlla se lo sviluppatore ha anche altri lavori o progetti in cantiere

Se devi acquistare qualcosa, cerca di utilizzare le piattaforme convalidate, che tengono traccia del materiale caricato e soprattutto lo controllano, quindi:

Wordpress.orgMythemeshop.comThemeforest.net

Risorsa Utile:WordPress Plugin Vulnerabilities

Altri consigli

Altre cose da fare:● Cambiare l'URL alla pagina di login del sito● Utilizzare password forti● Non dare i permessi di amministratore a chiunque● Evitare di impostare “admin” come username dell’amministratore● Rimuovere dalle cartelle i file: leggimi.txt, license.txt, licenza.html e readme.html

Nascondere la versione di WordPress:

Per fare questo lavoro, vi bastano le seguenti righe di codice al file functions.php:

function wpbeginner_remove_version() {return '';}add_filter('the_generator', 'wpbeginner_remove_version');

Impedire l'accesso al file wp-config.php:

Vi bastano queste righe all'interno del file htaccess:

<files wp-config.php>order allow,denydeny from all</files>

Ovviamente date al file htaccess solo i permessi 640, se non è tutto inutile

Altri consigli

Disabilitate l’editing dei file da backend:

Per fare questo lavoro, vi basta questa riga di codice aggiunta al file wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Utilizzare le WordPress Key:

Le WordPress Key vanno aggiunte al file wp-config.php e servono ad aumentare la sicurezza nella utilizzo e nella gestione dei cookie. Per utilizzarle, vi basta copiare le chiavi da questo indirizzo:

https://api.wordpress.org/secret-key/1.1/

Impedire l'accesso alla cartella wp-includes

Vi bastano queste righe all'interno del file htaccess:

RewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]

Ovviamente date al file htaccess solo i permessi 640, se non è tutto inutile

Hosting Anche il servizio di hosting ha le sue colpe

Molto probabilmente per pubblicare e mantenere on-line i tuoi progetti ti basi su servizi di hosting offerti dagli altri. Non c'è nulla di male in tutto ciò, però bisogno sempre stare attenti al lavoro svolto dai loro tecnici. Quindi stiamo parlando di:

● Quanto spesso aggiornano i server all'ultima versione del sistema operativo ● Quanto spesso installano le patch di sicurezza rilasciate dagli sviluppatori● Che sistemi di protezione ti offrono già di default

Hosting

Per controllare la seriosità del servizio di hosting esistono alcuni strumenti che ci consentono di verificare l'intera integrità del server in poco tempo e senza investire grossi capitale.

Tra i vari strumenti che si occupano di questo lavoro, c'è il servizio offerto dalla Acunetix OVS, disponibile anche nella versione trial di 14.

Quindi, per fare il controllo vi sarà sufficiente creare un account, inserire indirizzo IP del server ove si trova il sito o l'URL del sito e seguire i passaggi da loro indicati.

Test Finale

Fai un controllo

Il test finale

Metti sotto stress il tuo server e il tuo sito e vedi che cosa ne ricavi. Per fare questi test, hai bisogno di alcuni servizi come quelli presenti qui sotto:

● LoadStorm● UltraTools● Pingdom Website Speed Test● UptimeRobot● DNS Benchmark● GTmatrix

Plugin

Plugin

Plugin Consigliati

Ecco alcuni plugin che vi consiglio:

● My WP-Backup-Pro● Gravity Forms No CAPTCHA reCAPTCHA ● iThemes Security (formerly Better WP Security)● Clef Two-Factor Authentication● WordFence● Login Lockdown

Flavius FlorinHarabor

Mail: flavius.florin@prima-posizione.it

Web Site: http://www.insidevcode.eu/

webadvisor.itrealizzato in collaborazione conAssociazione Joomla!lombardia

restare vivi e aggiornati nel business digitale

restare vivi e aggiornati nel business digitale

webadvisor.it

http://www.slideshare.net/flaviusso88

https://it.linkedin.com/in/flaviusflorinharabor

https://plus.google.com/u/0/+FlaviusFlorinHarabor

http://twitter.com/FlaviusHarabor

https://www.facebook.com/flaviusso88