WordPress Facilissimo: guida alla sicurezza
-
Upload
flavius-florin-harabor -
Category
Internet
-
view
1.028 -
download
1
Transcript of WordPress Facilissimo: guida alla sicurezza
restare vivi e aggiornati nel business digitale
Mettiamo WordPress al sicuro
Flavius Florin HaraborQuesto speech vi permetterà di scoprire come potete avere un progetto basato sul CMS WordPress e non avere problemi di sicurezza
webadvisor.it
Introduzione
Quando si ha un forum, sito, blog oppure e-commerce, indipendentemente che questo sia realizzato con CMS tutto personale oppure sfruttando uno come WordPress, Joomla!, Drupal, Magento etc, si è sempre a rischio attacchi.
Gli attacchi esterni possono molto spesso compromettere alcune funzioni del vostro progetto o mettere definitivamente fuori uso l'intero progetto.
Fammi vedere che cosa trovo qua dentro!?!
A volte può capire
Ma anche ricapitare
Nooo...Come mai è successo tutto questo!?!
Te lo spiego io
Problemi e
Soluzioni
Spam
Partiamo dall'attacco più semplice, ma allo stesso tempo più snervante per chi amministra un progetto on-line.
Come ben sapete lo spam altro non è che della spazzatura o meglio contenuti indesiderati distribuiti sotto forma di commenti accompagnati da vari link, che non hanno nulla a che vedere con il vostro progetto.
Le Soluzioni● Potete decidere di bloccare i commenti sotto le pagine o gli articoli del vostro
progetto.
● Potete decidere la tipologia di utente che può commentare. Questo è possibili impostarlo dalle Impostazioni di WordPress > alla voce Discussione. Limitando e controllando chi commenta
● Potete utilizzare il plugin e il sistema di commenti Disqus (disqus.com).
● In più potete utilizzare il sistema e il plugin Akismet (akismet.com).
Messaggie
FormMessaggi indesiderati attraverso il form
Indipendentemente dalla tipologia di progetto realizzato con WordPress, tutti hanno una pagina dedicata ai contatti. Solitamente questa pagina contiene un form.
Però a volte capita che tra le mail che riceviamo attraverso il form, non siano richieste d'aiuto, ma bensì messaggi indesiderati.
Le soluzioni
Per difendersi da questa tipologia di attacco, si possono utilizzare plugin come:● SI CAPTCHA Anti-Spam ● Webdesignby Recaptcha.
Per chi non lo sapesse lo Scam è un tentativo di truffa on-line che utilizza tecniche di ingegneria sociale. In genere la tecnica dello scam avviene attraverso invio di e-mail nelle quali si promettono grossi guadagni o vincite.
Lo scam, a volte viene indicato e prende anche nome di "Scamming". In questo caso si riferisce al tentativo di furto di dati informatici sensibili, come le password di accesso a un portale da parte di malintenzionati, al fine di sottrarre o trasferire informazioni utili per il loro guadagno.
La tecnica dello scamming avvieni generalmente tramite l'uso di Fake Login, Fake Program, Keylogger, Cookie, o in alcuni casi anche attraverso Exploit e BruteForce.
Non solo Spam, ma anche Scam
Quando la tecnica dello scam colpisce un sito?
Questa tecnica, colpisce in primo luogo i siti WordPress che presentano installazioni datate, quindi non aggiornate all’ultima versione, contengono plugin con falle di sicurezza, mai aggiornati dagli sviluppatori oppure mai aggiornati dall'amministratore del progetto web. Alcune volte anche i template poco aggiornati, possono essere usati come porta di entrata.
Una volta preso il controllo del sito, i cracker installano apposite backdoor per garantirsi il controllo dell’installazione WordPres in caso di futuro aggiornamento, in modo da re-infettare il sito anche in caso di rimozione del malware.
Non solo Spam, ma anche Scam
Una volta installata la backdoor, questa si replicherà anche in altri punti del webserver, contagiando anche gli altri siti con WordPress ospitanti sulla stessa macchina, aumentando così la portata dell’attacco.
Oltre a voi, saranno i vostri utenti a farne le spese.
Non solo Spam, ma anche Scam
Ricorda
I tuoi virus, non sono e non restano tuoi, ma molto spesso cercano i tuoi utenti.
Quindi i virus che colpiscono i progetti realizzati conil CMS WordPress, possono trasformare i PC dei vostri utenti in un inferno senza uscita.
Ecco come difenderti
Difenditi
Difenditi dagli attacchi facendo copie di backup
Vi consiglio di creare più copie di backup del vostro sito e del relativo database. Salvate la copia di backup su server diversi, è ancor meglio se potete custodire una copia di backup offline, su hard disk o altro dispositivo di archiviazione abbastanza capiente da tenere tutto il vostro sito..
Tutti i giorni fino alla fine dei giorni
Questo lo si deve fare tutti i giorni:● Controllare e aggiornare il CMS WordPress● Controllare e aggiornare il template● Controllare e aggiornare i plugin installati● Togliere i plugin inutilizzati per molto tempo● Togliere i template che non vengono utilizzati● Cambiare l'URL alla pagina di login del sito● Utilizzare password forti● Non dare i permessi di amministratore a chiunque● Evitare di impostare admin come username dell’amministratore
Fare attenzione a tutto
Hai bisogno di un plugin, template o altro:● Controlla l'ultimo aggiornamento● Controlla la compatibilità con una delle ultimissime versioni di WordPress rilasciate ● Controlla se recentemente, è stato scoperto qualche bug per quel plugin● Controlla se il template ha una buona valutazione da parte de pubblico● Controlla se lo sviluppatore ha anche altri lavori o progetti in cantiere
Se devi acquistare qualcosa, cerca di utilizzare le piattaforme convalidate, che tengono traccia del materiale caricato e soprattutto lo controllano, quindi:
Wordpress.orgMythemeshop.comThemeforest.net
Risorsa Utile:WordPress Plugin Vulnerabilities
Altri consigli
Altre cose da fare:● Cambiare l'URL alla pagina di login del sito● Utilizzare password forti● Non dare i permessi di amministratore a chiunque● Evitare di impostare “admin” come username dell’amministratore● Rimuovere dalle cartelle i file: leggimi.txt, license.txt, licenza.html e readme.html
Nascondere la versione di WordPress:
Per fare questo lavoro, vi bastano le seguenti righe di codice al file functions.php:
function wpbeginner_remove_version() {return '';}add_filter('the_generator', 'wpbeginner_remove_version');
Impedire l'accesso al file wp-config.php:
Vi bastano queste righe all'interno del file htaccess:
<files wp-config.php>order allow,denydeny from all</files>
Ovviamente date al file htaccess solo i permessi 640, se non è tutto inutile
Altri consigli
Disabilitate l’editing dei file da backend:
Per fare questo lavoro, vi basta questa riga di codice aggiunta al file wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Utilizzare le WordPress Key:
Le WordPress Key vanno aggiunte al file wp-config.php e servono ad aumentare la sicurezza nella utilizzo e nella gestione dei cookie. Per utilizzarle, vi basta copiare le chiavi da questo indirizzo:
https://api.wordpress.org/secret-key/1.1/
Impedire l'accesso alla cartella wp-includes
Vi bastano queste righe all'interno del file htaccess:
RewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Ovviamente date al file htaccess solo i permessi 640, se non è tutto inutile
Hosting Anche il servizio di hosting ha le sue colpe
Molto probabilmente per pubblicare e mantenere on-line i tuoi progetti ti basi su servizi di hosting offerti dagli altri. Non c'è nulla di male in tutto ciò, però bisogno sempre stare attenti al lavoro svolto dai loro tecnici. Quindi stiamo parlando di:
● Quanto spesso aggiornano i server all'ultima versione del sistema operativo ● Quanto spesso installano le patch di sicurezza rilasciate dagli sviluppatori● Che sistemi di protezione ti offrono già di default
Hosting
Per controllare la seriosità del servizio di hosting esistono alcuni strumenti che ci consentono di verificare l'intera integrità del server in poco tempo e senza investire grossi capitale.
Tra i vari strumenti che si occupano di questo lavoro, c'è il servizio offerto dalla Acunetix OVS, disponibile anche nella versione trial di 14.
Quindi, per fare il controllo vi sarà sufficiente creare un account, inserire indirizzo IP del server ove si trova il sito o l'URL del sito e seguire i passaggi da loro indicati.
Test Finale
Fai un controllo
Il test finale
Metti sotto stress il tuo server e il tuo sito e vedi che cosa ne ricavi. Per fare questi test, hai bisogno di alcuni servizi come quelli presenti qui sotto:
● LoadStorm● UltraTools● Pingdom Website Speed Test● UptimeRobot● DNS Benchmark● GTmatrix
Plugin
Plugin
Plugin Consigliati
Ecco alcuni plugin che vi consiglio:
● My WP-Backup-Pro● Gravity Forms No CAPTCHA reCAPTCHA ● iThemes Security (formerly Better WP Security)● Clef Two-Factor Authentication● WordFence● Login Lockdown
Flavius FlorinHarabor
Mail: [email protected]
Web Site: http://www.insidevcode.eu/
webadvisor.itrealizzato in collaborazione conAssociazione Joomla!lombardia
restare vivi e aggiornati nel business digitale
restare vivi e aggiornati nel business digitale
webadvisor.it
http://www.slideshare.net/flaviusso88
https://it.linkedin.com/in/flaviusflorinharabor
https://plus.google.com/u/0/+FlaviusFlorinHarabor
http://twitter.com/FlaviusHarabor
https://www.facebook.com/flaviusso88