Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WordCamp Bologna 2018 - Paolo Dolci

438 views

Published on

Pillole di Sicurezza con WordPress - Slide di Paolo Dolci presentate al WordCamp 2018 di Bologna dedicato agli Sviluppatori.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

WordCamp Bologna 2018 - Paolo Dolci

  1. 1. Pillole di Sicurezza Informatica Paolo Dolci WordCamp Bologna 2018 #wcbo #wcbo2018
  2. 2. CHI SONO? Paolo Dolci CEO @ WpSEO – CONSULENTE SEO – WORDPRESS DEV @WpSEOit@capn3m0 @paolodolci info@wpseo.it wpseo.it WordCamp Bologna 2018 #wcbo #wcbo2018
  3. 3. COSA VEDREMO Di tutti i siti CMS infettati nel 2017, WordPress rappresenta l’83%! Come Attaccano I veicoli di un attacco e le sue finalità possono essere diverse. Andiamo a vedere i metodi più diffusi. Perché Attaccano Pensi che ti attacchino perché il tuo sito è famoso? Potresti essere solo un trampolino per diffondere malware! Come Difendersi Quali Strumenti esistono per difendersi, come utilizzarli e quali regole osservare per garantirsi sonni tranquilli! WordCamp Bologna 2018 #wcbo #wcbo2018
  4. 4. COME ATTACCANO WordCamp Bologna 2018 #wcbo #wcbo2018
  5. 5. WORDPRESS RAPPRESENTA IL 30% DEI SITI BASATI SU CMS Fonte: w3techs.com WordCamp Bologna 2018 #wcbo #wcbo2018
  6. 6. ATTACCHI PIÙ FREQUENTI BRUTEFORCE Tentativi continuativi di individuare la password di Admin o di sfruttare falle di XMLRPC REMOTE CODE EXECUTION Sfruttando falle di programmazione, consentono di eseguire codice esterno permettendo di inviare comandi (aggiunta di un utente admin), leggere file (wp-config?), uplodare nuovi file malevoli e tutto ciò che il php consente di fare (molte cose!) SQL INJECTION Manipolando le variabili GET/POST del sito permettono di alterare le Query MySQL consentendo di leggere e scrivere con pieni poteri! XSS (Cross Site Scripting) Sfruttando falle di programmazione si può iniettare del codice Javascript esterno che consente di eseguire varie operazioni tra cui sniffare i cookie di sessione e loggarsi al posto del reale Admin, mostrare Ads non volute o iniettare e veicolare malware! WordCamp Bologna 2018 #wcbo #wcbo2018
  7. 7. WordCamp Bologna 2018 #wcbo #wcbo2018 PERCHÉ PREOCCUPARSI ?
  8. 8. PERCHÉ PREOCCUPARSI ? WordCamp Bologna 2018 #wcbo #wcbo2018
  9. 9. PERCHÉ PREOCCUPARSI ? WordCamp Bologna 2018 #wcbo #wcbo2018
  10. 10. PERCHÉ ATTACCANO WordCamp Bologna 2018 #wcbo #wcbo2018
  11. 11. Soldi, Noia, Ego.. Qualunque sia il motivo ci proveranno! E bisogna essere pronti! “ WordCamp Bologna 2018 #wcbo #wcbo2018
  12. 12. PERCHÉ ATTACCANO USARCI COME “TESTA DI PONTE” Chi commette questi reati ha bisogno di infrastrutture e di non essere tracciato. Violando un sito e caricando file e script, potranno inviare fake mail di phishing, virus e quant’altro usando l’Ip del nostro Server rendendo più difficile risalire ai reali crackers. AMPLIFICARE LA PORTATA Riuscendo a violare più siti, magari tramite la stessa falla comune, si possono veicolare virus/malware/ransomware a tante persone in breve tempo. I dati delle persone infette, sul mercato nero, hanno un valore $$$ WordCamp Bologna 2018 #wcbo #wcbo2018
  13. 13. UN’IMMAGINE VALE PIÙ DI 1000 PAROLE Ecco il valore dei nostri dati sul Mercato Nero del Web Fonte: Armor.com – The Black Market Report WordCamp Bologna 2018 #wcbo #wcbo2018
  14. 14. COME DIFENDERSI WordCamp Bologna 2018 #wcbo #wcbo2018
  15. 15. COME DIFENDERSI SERVER SIDE SECURITY A livello di Server esistono sw come Fail2Ban e Mod_Security che monitorano, intercettano e bloccano gli attacchi più comuni e/o noti. UPDATE Ovviamente mantenere sempre aggiornati alle ultime versioni WordPress, Temi e Plugin è sempre fondamentale per garantire la sicurezza del proprio sito! WORDPRESS SIDE SECURITY Plugin come Wordfence o Sucuri Security integrano in WordPress tutte le principali accortezze di sicurezza contro i principali attacchi. BACKUP Anche usando tutto il buonsenso e attuando tutte le pratiche ti bucano il sito? Il backup ti salverà! (a patto che sia al di fuori del tuo spazio web!) WordCamp Bologna 2018 #wcbo #wcbo2018
  16. 16. Gli sviluppatori di WordPress fanno un ottimo lavoro garantendo un core robusto e sicuro! Non roviniamo tutto! “ WordCamp Bologna 2018 #wcbo #wcbo2018
  17. 17. ATTACCHI WORDPRESS MARZO 2018 Fonte: Wordfence.com– March 2017 WordPress Attack Report WordCamp Bologna 2018 #wcbo #wcbo2018 PLUGINS TEMI
  18. 18. WordPress ha un set di funzioni utili a sviluppare in SICUREZZA, USIAMOLE “ WordCamp Bologna 2018 #wcbo #wcbo2018
  19. 19. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni
  20. 20. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc) Utilizziamo i nonces di WordPress per evitare manipolazioni
  21. 21. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
  22. 22. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
  23. 23. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Se utilizziamo nuovi ruoli utenti assegniamogli solo i permessi necessari Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
  24. 24. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Se utilizziamo nuovi ruoli utenti assegniamogli solo i permessi necessari Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc) Disabilitiamo l’Editor dei File che non utilizza nessuno ma può creare grossi problem define(‘DISALLOW_FILE_EDIT’,true);
  25. 25. ¡GRAZIE! WordCamp Bologna 2018 #wcbo #wcbo2018
  26. 26. DOMANDE WordCamp Bologna 2018 #wcbo #wcbo2018

×