Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito - WordCamp Milano 2016

172 views

Published on

Presentazione dell'intervento al WordCamp Milano 2016 #wcmil sulle regole per generare username e password sicure, come testarli e verificarne l'inviolabilità, strumenti per eseguire backup manuali e automatici, i plugin base per rendere più sicuro il vostro sito web ed evitarne l'hacking.
La presentazione inoltre contiene esempi di configurazione di del Plugin "All in One WP Security & Firewall"

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
172
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito - WordCamp Milano 2016

  1. 1. WordPress Security Regole e Plugin base per evitare l’hacking del vostro sito
  2. 2. Panoramica: quali argomenti vedremo insieme? Generazione e test per Password e Username sicuri Backup spazio web: • manuali • automatici Backup Database: • manuali • automatici Aggiornamenti di sistema. Installazione Plugin per la sicurezza del vostro sito.
  3. 3. Importanza di Password e Username sicuri Partiamo dalle basi! Per l’accesso al back end non dobbiamo MAI utilizzare come USERNAME: • Admin • Administrator • Il nome del dominio • Il nome del sito
  4. 4. Importanza di Password e Username sicuri Perché? Sono le credenziali che gli HACKER utilizzano per prime per provare a violare il nostro SITO WEB Fonte immagine Gmail mail.google.com
  5. 5. Importanza di Password e Username sicuri Qual è un username sicuro? Purtroppo non ne esiste uno sicuro al 100% MA… …possiamo utilizzare alcuni trucchi: • inserire caratteri speciali • sostituire lettere con numeri
  6. 6. Importanza di Password e Username sicuri Come? Ad esempio il signor Mario Rossi potrebbe utilizzare come username: M@r10-r0s$I Dove ha sostituito: • le a con il simbolo @ • le i con il numero 1 • le o con lo 0 • le s con il simbolo $
  7. 7. Importanza di Password e Username sicuri Come? Creando così combinazioni di lettere e numeri più difficili da decifrare Fonte immagine CMS WordPress
  8. 8. Importanza di Password e Username sicuri …e per la Password? In linea di massima valgono le stesse regole utilizzate per username, ma soprattutto NON dobbiamo utilizzare… …come PASSWORD: • ripetizione username • il nostro nome • la nostra data di nascita • solo lettere o numeri • 1234, qwerty, password
  9. 9. Importanza di Password e Username sicuri Perché? Perché sono le prime che gli HACKER tentano sul nostro sito e hanno una probabilità molto alta di essere identificate Fonte immagine kaspersky.com
  10. 10. Importanza di Password e Username sicuri In quanto tempo si «cracka» una password non sicura? Password brevi, che presentano solo lettere o numeri, sono molto facili da «crackare» alcune nel giro di pochi secondi Fonte immagine kaspersky.com
  11. 11. Importanza di Password e Username sicuri Qual è una password sicura? Anche in questo caso, purtroppo non esiste una password sicura al 100% MA… …possiamo utilizzare alcuni trucchi: • inserire caratteri speciali • sostituire lettere con numeri • utilizzare il generatore password di WordPress
  12. 12. Importanza di Password e Username sicuri Come? Ad esempio il signor Mario Rossi nato a Roma il 12/02/1965 potrebbe utilizzare come password: !doDic1-F3b6Cinq-RM/ Dove ha sì utilizzato la sua data di nascita ma ha: • scritto giorno mese anno alternando maiuscole, minuscole e numeri • utilizzato caratteri speciali
  13. 13. Importanza di Password e Username sicuri Come? Creando così combinazioni di lettere e numeri più difficili da decifrare e rendendo la sua PASSWORD SICURA  Fonte immagine CMS WordPress
  14. 14. Importanza di Password e Username sicuri Alcuni «tool» per verificare l’inviolabilità della password 1° il generatore password integrato in WordPress. WordPress segnala sempre se la password inserita è: • Forte • Media • Debole • Molto Debole Fonte immagine CMS WordPress
  15. 15. Importanza di Password e Username sicuri Alcuni «tool» per verificare l’inviolabilità della password 2° Strumento Forza Password del Plugin WordPress «All in One WP Security and Firewall» Il Plugin ci avvisa in quanto tempo la password potrebbe essere «crackata» Fonte immagine CMS WordPress
  16. 16. Importanza di Password e Username sicuri Alcuni «tool» per verificare l’inviolabilità della password 3° La risorsa online «Kaspersky secure password check» Questo tool ci segnala in quanto tempo la nostra password potrebbe essere crackata da un computer anni 80 o da uno di ultima generazione Fonte immagine kaspersky.com
  17. 17. Importanza di Password e Username sicuri Ricapitolando Per avere username e password sicuri basta seguire alcune semplici regole: 1) Se siamo amministratori WordPress, NON dobbiamo utilizzare • Admin/administrator • Password e username uguali
  18. 18. Importanza di Password e Username sicuri Ricapitolando Per avere username e password sicuri basta seguire alcune semplici regole: 2) • Alternare lettere maiuscole, minuscole e numeri • Sostituire alcune lettere con numeri e simboli • Inserire simboli
  19. 19. Importanza di Password e Username sicuri Ricapitolando Per avere username e password sicuri basta seguire alcune semplici regole: 3) Verificare l’inviolabilità della password con: • Il generatore password di WordPress • Tool nei Plugin di sicurezza • Tool Online
  20. 20. Importanza di Password e Username sicuri Ricapitolando Per avere username e password sicuri basta seguire alcune semplici regole: 4) IL BUON SENSO 
  21. 21. L’importanza del Backup dei file e del database Cos’è un Backup? Il BACKUP è la COPIA DEI DATI su un dispositivo di memorizzazione che può essere sia «fisico» che «cloud» Esattamente quello che facciamo sui nostri smartphone per non perdere le foto e i contatti, dobbiamo farlo anche per il nostro sito WordPress.
  22. 22. L’importanza del Backup dei file e del database Perché è importante il Backup? Perché possiamo essere in grado di recuperare i contenuti del nostro sito e non perdere il lavoro fatto in caso di: • HACKING del sito • MALFUNZIONAMENTO di server/hosting/database • ERRORI da parte nostra
  23. 23. L’importanza del Backup dei file e del database Come non rischiare di perdere il nostro sito? Ci sono alcune pratiche preliminari alla realizzazione del sito che possono metterci al sicuro. Queste pratiche vanno attuate già al momento dell’acquisto del nostro dominio.
  24. 24. L’importanza del Backup dei file e del database 1. Servizio di Backup del Provider I provider di server e hosting consentono di associare più servizi al dominio acquistato. QUALI SERVIZI acquistare? • Backup dello spazio web su cui risiede il sito • Backup del database MySql
  25. 25. L’importanza del Backup dei file e del database 1. Servizio di Backup del Provider Grazie ai SERVIZI di BACKUP del provider è possibile recuperare i contenuti fino a una settimana prima o fino all’ultima copia di «restore» salvata. Inoltre se non siamo esperti, sistemisti o programmatori, possiamo chiedere al provider stesso di ripristinarne una copia.
  26. 26. L’importanza del Backup dei file e del database 2. Backup «manuali» Oltre ai servizi offerti dal Provider, che consiglio di acquistare sempre, è possibile fare dei Backup «MANUALI». Si, ma come si fanno? Possiamo utilizzare: i «tool» presenti sul nostro pannello di controllo del dominio oppure installare alcuni programmi sui nostri computer.
  27. 27. L’importanza del Backup dei file e del database 2. Backup «manuali» - File Manager Uno strumento presente nel pannello di controllo è: il «FILE MANAGER». L’accesso al «File Manager» consente di visualizzare i file presenti sul nostro spazio web e di selezionarli per effettuarne il DOWNLOAD. Fonte immagine Personale
  28. 28. L’importanza del Backup dei file e del database 2. Backup «manuali» - Database Manager Un altro strumento presente nel pannello di controllo è il «DATABASE MANAGER». Consente di visualizzare attraverso un’interfaccia web (phpMyAdmin) le tabelle del database, di selezionarle e creare un DUMP (salvataggio) dei RECORD su file .sql o .zip Fonte immagine phpMyAdmin
  29. 29. L’importanza del Backup dei file e del database 2. Backup «manuali» - Programmi sul computer In alternativa ai tool del pannello di controllo possiamo installare sul nostro computer programmi che hanno le stesse funzionalità. Quali? Ad esempio: • FileZilla per il backup dei file • MySQL per backup database
  30. 30. L’importanza del Backup dei file e del database 2. Backup «manuali» - FileZilla Connettendoci con FileZilla, selezionando le cartelle e i file di WordPress, possiamo scaricarli direttamente sul nostro computer Fonte immagine Filezilla
  31. 31. L’importanza del Backup dei file e del database 2. Backup «manuali» - MySQL Connettendoci con MySQL Workbench possiamo utilizzare la funzionalità Data Export per esportare il nostro database e scaricarne una copia sul nostro computer. Fonte immagine dev.mysql.com
  32. 32. L’importanza del Backup dei file e del database 2. Backup «manuali» ATTENZIONE: Se non siete assolutamente sicuri di quello che fate, non improvvisate, perché potreste fare danni. CONSIGLIO: Per i backup manuali affidiamoci al nostro Developer, sistemista o tecnico informatico di fiducia 
  33. 33. L’importanza del Backup dei file e del database 3. Backup «automatici» Come si fanno i backup automatici? Semplice! Installando sul nostro sito WordPress i Plugin che hanno questa funzionalità.
  34. 34. L’importanza del Backup dei file e del database 3. Backup «automatici» - W i Plugin! Quali scegliere? Ce ne sono numerosi e praticamente si equivalgono. È importante scegliere quelli che fanno al caso nostro.
  35. 35. L’importanza del Backup dei file e del database 3. Backup «automatici» - Quali Plugin? Dipende! Chiediamoci: COSA e COME vogliamo fare questo Backup? • Riceverlo via email? • Salvarlo sul nostro Cloud? • Che risieda sullo spazio web?
  36. 36. L’importanza del Backup dei file e del database 3. Backup «automatici» - Plugin: Backup via email Riceverlo via email? Ottimo! Esistono Plugin che inviano: i file .sql o .zip del database o una notifica del backup completo (database e file) da scaricare dall’area di amministrazione del sito.
  37. 37. L’importanza del Backup dei file e del database 3. Backup «automatici» - Plugin: Backup su Cloud Salvarlo sul Cloud? Ottimo! Esistono Plugin che, una volta collegati al nostro cloud, consentono di salvare i file del sito WordPress e del database direttamente su: DropBox Drive Amazon e molti altri servizi cloud.
  38. 38. L’importanza del Backup dei file e del database 3. Backup «automatici» - Plugin: Backup sul server Una copia di backup sullo spazio web? Ottimo! Esistono Plugin che consentono di salvare i file del sito WordPress e del database direttamente in una cartella sul server.
  39. 39. L’importanza del Backup dei file e del database 3. Backup «automatici» - Plugin per tutti i gusti! Una volta scelto il metodo che preferiamo dobbiamo solo iniziare! Vediamo alcuni Plugin di esempio e come si comportano.
  40. 40. L’importanza del Backup dei file e del database 3. Backup «automatici» - Plugin WP All Backup Invia una notifica email dell’avvenuto backup Lo salva sullo spazio web Consente di collegare il nostro cloud (DropBox, Drive, ecc..) Fonte immagine wordpress.org/plugins/wp-all-backup/
  41. 41. L’importanza del Backup dei file e del database 3. Backup «automatici» - Plugin All in One WP Security & FirewallInvia una notifica email dell’avvenuto backup del Database Fonte immagine wordpress.org/plugins/all-in-one-wp-security-and-firewall/
  42. 42. L’importanza del Backup dei file e del database 3. Backup «automatici» - Plugin BackWPup WordPress Backup PluginEsegue il backup di database e file Inviandolo via email oppure salvandolo su: Server, Dropbox, Google Drive, Microsoft Azure, Amazon Glacier Fonte immagine wordpress.org/plugins/ backwpup/
  43. 43. L’importanza del Backup dei file e del database Ricapitolando È possibile fare backup utilizzando i SERVIZI del nostro PROVIDER Acquistando: • Servizio di backup dello spazio web • Servizio di backup del database
  44. 44. L’importanza del Backup dei file e del database Ricapitolando È possibile fare backup utilizzando gli strumenti presenti nel PANNELLO DI CONTROLLO Utilizzando: • «FILE MANAGER» per i file • «DATABASE MANAGER» per il database
  45. 45. L’importanza del Backup dei file e del database Ricapitolando È possibile fare backup utilizzando i programmi installati sui nostri computer Utilizzando: • «FileZilla» per i file • «MySQL» per il database
  46. 46. L’importanza del Backup dei file e del database Ricapitolando È possibile fare backup utilizzando i Plugin di WordPress Scegliendo: • Backup con notifica email • Salvataggio sul cloud • Salvataggio sul server
  47. 47. L’importanza del Backup dei file e del database Quindi Fate i backup… … e niente scuse! 
  48. 48. L’importanza degli Aggiornamenti: WordPress + Plugin + Theme A cosa servono gli aggiornamenti? Gli aggiornamenti servono ad apportare migliorie e a risolvere i «bug» (difetti/malfunzionamenti) del CMS, Plugin o Tema. Vanno a sovrascrivere il codice (php, html, javascript, css) e il linguaggio SQL esistente.
  49. 49. L’importanza degli Aggiornamenti: WordPress + Plugin + Theme Quando farli? Vanno sempre fatti! Quando esce un nuovo aggiornamento del Core di WordPress devo aggiornare subito? Dipende! È bene verificare che per i Temi e i Plugin presenti sul sito WordPress siano stati rilasciati aggiornamenti compatibili con l’ultima versione del CMS.
  50. 50. L’importanza degli Aggiornamenti: WordPress + Plugin + Theme Plugin e Temi sono compatibili con l’ultima versione di WordPress?Se Sì Aggiorniamo pure, ma con le dovute precauzioni (Backup!!!) Se NO Aspettiamo il rilascio degli aggiornamenti e verifichiamo i problemi sui forum di supporto di WordPress, Plugin e Temi.
  51. 51. L’importanza degli Aggiornamenti: WordPress + Plugin + Theme Cosa fare prima di aggiornare? Provate a indovinare? BACKUP!!! Dei file e del database. Avere un backup completo ci consente di ripristinare il sito funzionante, senza perdere tutto il lavoro fatto.
  52. 52. L’importanza degli Aggiornamenti: WordPress + Plugin + Theme Aggiornamento di un Tema Attenzione! Verifichiamo che le personalizzazioni grafiche presenti del foglio di stile (style.css) siano state fatte… • su un tema Child appositamente creato o installato • nella sezione dedicata nelle Opzioni del Tema
  53. 53. L’importanza degli Aggiornamenti: WordPress + Plugin + Theme Aggiornamento di un Tema Se così non fosse e le modifiche fossero state apportate al core del Tema potremmo rischiare di perdere le nostre personalizzazioni.
  54. 54. L’importanza degli Aggiornamenti: WordPress + Plugin + Theme Perché aggiornare? Perché se non aggiorniamo spesso, gli HACKER possono sfruttare le falle nel sistema, che sono state risolte negli aggiornamenti, per violare il nostro sito. Infatti spesso mandano delle «stringhe di codice dannose» a minare la sicurezza del nostro sito web. Non facciamoci cogliere impreparati! 
  55. 55. L’importanza degli Aggiornamenti: WordPress + Plugin + Theme Ricapitolando Gli aggiornamenti vanno sempre fatti, verificando la compatibilità dei Plugin e dei Temi. Prima di aggiornare effettuare SEMPRE Il BACKUP COMPLETO!
  56. 56. I Plugin per la Sicurezza A cosa servono e perché installarli? A prevenire attacchi che potrebbero danneggiare il nostro sito web. Meglio se coadiuvati da un pacchetto di sicurezza di base sul nostro hosting.
  57. 57. I Plugin per la Sicurezza Quali scegliere? Esistono molti Plugin che possono soddisfare le esigenze del nostro sito. Vediamo 3 esempi nelle prossime slide.
  58. 58. I Plugin per la Sicurezza Funzionalità del Plugin: Wordfence Security Firewall Login Security Scansione dei file Blocco attacco Hacking Monitoraggio traffico e DNS Fonte immagine wordpress.org/plugins/wordfence/
  59. 59. I Plugin per la Sicurezza Funzionalità del Plugin: All In One WP Security & Firewall Firewall Antispam Login Security Scansione e controllo file Prevenzione Brute Force Personalizzazione .htaccess Fonte immagine wordpress.org/plugins/wordfence/
  60. 60. I Plugin per la Sicurezza Funzionalità del Plugin: Security, Antivirus, Firewall-S.A.F Protezione Brute force Antivirus e Antispam Scansione file e malware Protezione attacchi al backend Identificazione di plugin e temi vulnerabili Fonte immagine wordpress.org/plugins/wordfence/
  61. 61. I Plugin per la Sicurezza Ricapitolando Grazie al costante aggiornamento dei «Security Plugin» di WordPress… … abbiamo solo l’imbarazzo della scelta per la sicurezza del nostro sito! 
  62. 62. Esempi di configurazione All in One WP Security & Firewall Vediamo velocemente la configurazione di uno dei plugin citati. Dalle funzionalità più semplici a quelle più complesse.
  63. 63. Esempi di configurazione La Bacheca fornisce a colpo d’occhio la situazione del livellodi sicurezza del nostro sito. Riepiloga: • Le Informazioni di Sistema, del sito, del Php info e dei Plugin Attivi • Eventualiindirizzi IP bloccati • File di Log del Plugin Fonte immagine CMS WordPress
  64. 64. Esempi di configurazione Le Impostazioniservono a: • Eventualmentedisabilitarealcune funzioni di sicurezza e le regole del firewall • Abilitarefunzionalità di debug • Fare un backup dei file .htaccess e wp-config.php • Importare ed Esportare le configurazionidel Plugin da un sito WordPress all’altro. Fonte immagine CMS WordPress
  65. 65. Esempi di configurazione La sezione Account Utente fornisce: • Informazioni sui nomi utente degli amministratorie in caso di presenza di un utente «Admin» lo segnala • Come vengono visualizzatii nomi utente e se è il caso di modificarli • Lo strumento di verifica della sicurezza della password Fonte immagine CMS WordPress
  66. 66. Esempi di configurazione La sezione Login Utente consente di bloccare l’accesso dopo un numero di tentativiprestabilitoe di bloccare gli utenti inesistenti. Possiamo farci inviareuna notifica email in caso di attacchi ripetuti. Fonte immagine CMS WordPress
  67. 67. Esempi di configurazione La sezione Registrazione Utenti consente: • Di attivarela registrazione manuale degli utenti • Impostare i Captcha nel modulo di registrazione Fonte immagine CMS WordPress
  68. 68. Esempi di configurazione La sezione Sicurezza Database consente: • Di cambiare il prefisso delle tabelle in caso fosse impostatocome «wp_» • Impostare i backup automaticidel databasecon inviodi una notifica email con file sql in allegato Fonte immagine CMS WordPress
  69. 69. Esempi di configurazione La sezione Sicurezza File di Sistema consente: • Fare delle «Azioni Raccomandate» • Impostare correttamente i permessi sul server • Impedire la modifica dei file PHP • Impedire l’accesso ai file di installazione Fonte immagine CMS WordPress
  70. 70. Esempi di configurazione La sezione Gestione Blacklist consente: • Attivare una «lista nera» di indirizzi IP e User Agent Bannati Fonte immagine CMS WordPress
  71. 71. Esempi di configurazione La sezione Firewallconsente di: • Impostare regole firewall di base e aggiuntive • Impostare le regole di protezionedi sicurezza del firewall6G (o 5G) progettatie realizzati da Perishable Press • Bloccare i falsi Google Boot • Prevenire l’hotlinkingdelle immagini • Personalizzare il file .htaccess bloccandoad esempio i referral dannosi Fonte immagine CMS WordPress
  72. 72. Esempi di configurazione La sezione Brute Force consente di: • Rinominarela Pagina di Login • Proteggere la pagina di login da attacchi • Inserire i Captcha nellaPagina di Login • Avere una «lista bianca» di indirizzi IP a cui consentire l’accesso • aggiungere un particolarecampo nascosto «honeypot» visibile solo ai robot e quindi individuareuna praticadannosa sul sito Fonte immagine CMS WordPress
  73. 73. Esempi di configurazione La sezione Spam consente di: • Attivare i captcha sul modulo dei commenti • Prevenire commenti Spam • Monitoraregli IP Spam e bloccarli Fonte immagine CMS WordPress
  74. 74. Esempi di configurazione La sezione Scanner consente di: • Rilevaremodifiche sui file, quindi di monitoraresempre il sito in caso di inserimento di stringhe dannose nel codice Fonte immagine CMS WordPress
  75. 75. WordPress Security Conclusioni Adesso che abbiamo le nozioni e conosciamo le procedure e i plugin che possono aiutarci a mantenere più sicuro il nostro sito… … dobbiamo metterle in pratica e non ci sono più scuse per «rimandare a domani quello che può essere messo in sicurezza oggi» 
  76. 76. Grazie …per aver ascoltato il mio intervento… … e per avermi dato l’opportunità di esporlo 
  77. 77. Contatti www.silviacariello.it @SilviaCariello www.facebook.com/SilviaCarielloConsulenteInformatico www.linkedin.com/in/silviacariello

×