La sicurezza di WordPress per non sparire da Google

1,067 views
1,023 views

Published on

Sicurezza per un blog Wordpress, presso Wordpress WordCamp Italia, Milano 22 maggio 2010

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,067
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

La sicurezza di WordPress per non sparire da Google

  1. 1.                La sicurezza di WordPress per non sparire da . Sean Carlos WordCamp Milano 22 maggio 2010 ©2010 Sean Carlos 1/19
  2. 2. .edu ??? .edu ???©2010 Sean Carlos 2/19
  3. 3. Lo Spam:Il Prosciutto Inscatolato ©2010 Sean Carlos 3/19
  4. 4. Lo spam:Lo sketch dei Monty Python ©2010 Sean Carlos 4/19
  5. 5. Il problemaIl Contesto ©2010 Sean Carlos 5/19
  6. 6. N uo vo !Utilizza una versione recente di WordPress ©2010 Sean Carlos 6/19
  7. 7. Conosci i tuoi plugin (estensioni)Conosci i tuoi plugin (estensioni) ©2010 Sean Carlos 7/19
  8. 8. adminCambia laccount dellamministratore dallimpostazione predefinita “admin” ©2010 Sean Carlos 8/19
  9. 9. Proteggi la tua interfaccia di amministrazione WordPress con una password a livello del server ©2010 Sean Carlos 9/19
  10. 10. WP Prefix ChangerRinomina le tabelle del tuo database WordPress ©2010 Sean Carlos 10/19
  11. 11. /wp­content/pluginsNascondi agli occhi indiscreti la tua directory di pluginNascondi agli occhi indiscreti la tua directory di plugin ©2010 Sean Carlos 11/19
  12. 12. 2.9Rimuovi le informazioni sulla versione di WordPress e di eventuali plugin ©2010 Sean Carlos 12/19
  13. 13. La segnalazione di errori php La segnalazione di errori php ©2010 Sean Carlos 13/19
  14. 14. WP Security ScanScansione sicurezza WordPressScansione sicurezza WordPress ©2010 Sean Carlos 14/19
  15. 15. Il tuo blog è sparito da Google? ©2010 Sean Carlos 15/19
  16. 16. http://www.amazon.co.uk/Hacking­Exposed­Sixth­Security­Solutions/dp/0071613749/antezeta­21 ©2010 Sean Carlos 16/19
  17. 17. Larticolo e la presentazione di Wolly http://www.slideshare.net/wolly/wordpress­sicuro ©2010 Sean Carlos 17/19
  18. 18. Domande & risposte ! zie ra ©2010 Sean Carlos 18/19 G
  19. 19. Contattateci● E­Mail● Telefono         02 69 000 333● Web        www.antezeta.it/blog             sean­carlos               @sean_it (ITA) @seancarlos (ENG) ! zie ra ©2010 Sean Carlos 19/19 G
  20. 20.                     La sicurezza di WordPress per non sparire da . Sean Carlos WordCamp Milano 22 maggio 2010 ©2010 Sean Carlos 1/19 Le slide sono derivate da un articolo sulla  sicurezza per un blog WordPress. 
  21. 21.     .edu ??? .edu ??? ©2010 Sean Carlos 2/19 
  22. 22.     Lo Spam: Il Prosciutto Inscatolato ©2010 Sean Carlos 3/19 
  23. 23.     Lo spam: Lo sketch dei Monty Python ©2010 Sean Carlos 4/19 
  24. 24.     Il problema Il Contesto ©2010 Sean Carlos 5/19 
  25. 25.     N uo vo ! Utilizza una versione recente  di WordPress ©2010 Sean Carlos 6/19 Quasi tutti i software contengono errori o bug  che vengono corretti col passare del tempo. In  generale, mantenere la tua installazione  WordPress aggiornata è un ottimo modo per  evitare problemi conosciuti. È da notare che la  versione più recente, in particolare nel caso di  aggiornamenti importanti, può causare più  problemi che risolverli. Quindi, tieni WordPress  aggiornato, ma lascia che altri lo facciano  prima! Notizie sui rilasci ufficiali di WordPress  sono fornite dal feed nel tuo cruscotto  WordPress; è inoltre possibile aggiungere  questo feed dagli sviluppatori WordPress al tuo  lettore di feed RSS. 
  26. 26.     Conosci i tuoi plugin (estensioni) Conosci i tuoi plugin (estensioni) ©2010 Sean Carlos 7/19 Plugin sviluppati da terze parti consentono un  accesso significativo al tuo blog, il che rende  indispensabile che tu ti fidi dell’autore di  qualsiasi plugin installato – o aggiornato. Alcuni  plugin sono indicati di seguito – non posso  garantire per l’affidabilità delle attuali versioni:  puoi utilizzarli a tuo rischio Image: Holger Zscheyge CC Attribution 2.0  Generic  http://www.flickr.com/photos/zscheyge/49012 397/ 
  27. 27.     admin Cambia laccount dellamministratore  dallimpostazione predefinita “admin” ©2010 Sean Carlos 8/19 Ogni hacker sa che WordPress ha un utente  admin che gode dei privilegi  dell’amministrazione come fosse un dio.  Rimuovi l’utente admin per rallentare gli  hacker. Crea un utente WordPress con i  privilegi di amministratore utilizzando  l’interfaccia di amministrazione. Esci da  WordPress ed accedi nuovamente come  nuovo utente. Cancella l’utente admin. Il  nuovo utente amministratore dovrebbe essere  diverso da quello che normalmente scrive  post, cioè non visibile nei post. 
  28. 28.     Proteggi la tua interfaccia di  amministrazione WordPress con una  password a livello del server ©2010 Sean Carlos 9/19 Il nostro obiettivo è quello di aggiungere un  ulteriore livello di sicurezza all’amministrazione  WordPress. Gli utenti su Apache dovrebbero  fare riferimento alla  documentazione sull’autenticazione o  prendere in considerazione una plugin  WordPress. Gli utenti IIS potrebbero trovare  queste istruzioni utili. 
  29. 29.     WP Prefix Changer Rinomina le tabelle del tuo  database WordPress ©2010 Sean Carlos 10/19 Gli attacchi da parte degli Hacker che sfruttano  il tuo database generalmente richiedono la  conoscenza dei nomi delle tabelle nel  database. WordPress consente nomi alternativi  per le tabelle del database. Ci sono diversi  plugin per definire il prefisso delle tabelle che  faranno questo per te, oppure è possibile  seguire le istruzioni manuali. Nota che si  possono avere problemi con le estensioni  (plugin) scritti male se non si riconosce il valore  del prefisso delle tabelle. Foto: terren in Virginia; CC Attribution 2.0  Generic  http://www.flickr.com/photos/8136496@N05/180 6968708/ 
  30. 30.     /wp­content/plugins Nascondi agli occhi indiscreti la tua  directory di plugin Nascondi agli occhi indiscreti la  tua directory di plugin ©2010 Sean Carlos 11/19 In molte installazioni WordPress è possibile  visualizzare un elenco dei plugin installati,  navigando alla directory /wp­content/plugins/.  Tale trasparenza non è consigliata, visto che  vulnerabilità note nei plugin possono essere  facilmente sfruttate. Aggiungi un file vuoto  come indice, tipo index.html, nella directory. È  inoltre possibile proteggerlo con un file  .htaccess nel caso tu stia impiegando Apache  come server. Foto practicalowl CC Attribution­ NonCommercial­ShareAlike 2.0 Generic  http://www.flickr.com/photos/practicalowl/31 4989744/ 
  31. 31.     2.9 Rimuovi le informazioni sulla versione  di WordPress e di eventuali plugin ©2010 Sean Carlos 12/19 Dichiarando al mondo la versione WordPress  che giri, semplifichi notevolmente il lavoro ad  un hacker. In un post Peter Westwood ha  documentato come fare per sopprimere  informazioni sulla versione di WordPress nei  feed e nel blog. Ho confezionato il suo codice  in una maniera molto rudimentale come un  plugin WordPress per nascondere la versione di  WordPress. Nei theme più vecchi sarà ancora  necessario rimuovere una riga simile a questa: <meta name="generator" content="WordPress  <?php bloginfo(version); ?>" /> <!­­ leave this  for stats ­­> 
  32. 32.     La segnalazione di errori php La segnalazione di errori php ©2010 Sean Carlos 13/19 “Se qualcosa prende la forma di una pera”  come dicono gli inglesi (cioè, va storto),  WordPress ed i suoi plugin possono far  visualizzare codici di errori php. In un ambiente  di produzione si dovrebbero sopprimere gli  errori. Consulta la documentazione per la  segnalazione di errori php per una discussione  più approfondita. Foto: rubenerd CC Attribution­NonCommercial  2.0 Generic http://www.flickr.com/photos/rubenerd/1740916 665/sizes/o/ 
  33. 33.     WP Security Scan Scansione sicurezza WordPress Scansione sicurezza WordPress ©2010 Sean Carlos 14/19 Il plugin WP Security Scan fa un controllo del tuo  blog in merito alla sicurezza e tenta di attuare  molti dei suggerimenti indicati in questo  articolo. Blogsecurity.net offre un’alternativa  plugin di scansione. Foto: utnapistim CC Attribution­NonCommercial  2.0 Generic  http://www.flickr.com/photos/utnapistim/2002 24886/ 
  34. 34.     Il tuo blog è sparito da Google? ©2010 Sean Carlos 15/19 Se Google ha penalizzato il tuo sito, il problema  principale consiste nel sistemare il sito.  Identificare il problema che ha turbato Google  ed assicurarsi che venga rimosso. Evita la  tentazione di aggiornare alla cieca i tuoi  plugin, WordPress, o il tema. Il problema può  persistere! Se il tuo blog si comporta bene, puoi prendere in  considerazione l’iscrizione agli strumenti  Google per i webmaster e fare una richiesta di  re­inclusione – una richiesta concisa risulta  vincente: cosa è successo e come è stato  sistemato. Se il tuo problema rientra in uno di  quelli comunemente diffusi, se non dipende  da te ed il tuo blog ha avuto finora un buon  rapporto con Google, sono disposto a   scommettere che Google ripristinerà in 
  35. 35.     http://www.amazon.co.uk/Hacking­Exposed­Sixth­Security­Solutions/dp/0071613749/antezeta­21 ©2010 Sean Carlos 16/19 
  36. 36.     Larticolo e la presentazione di Wolly http://www.slideshare.net/wolly/wordpress­sicuro ©2010 Sean Carlos 17/19 
  37. 37.     Domande  & risposte ! zie ra ©2010 Sean Carlos 18/19 G Foto: laurakgibbs CC Attribution 2.0 Generic  http://www.flickr.com/photos/38299630@N05/ 3635356091/ 
  38. 38.     Contattateci ● E­Mail ● Telefono         02 69 000 333 ● Web        www.antezeta.it/blog             sean­carlos               @sean_it (ITA) @seancarlos (ENG) ! ie z ra ©2010 Sean Carlos 19/19 G Immagine: CC Attribution­No Derivative Works  2.0 Generic 2010­04­05  http://www.flickr.com/photos/11806855@N02/ 2523960245 

×