Diffuso, Flessibile, Versatile, Sicuro?
Come rendere Wordpress più sicuro con alcuni accorgimenti prevenendo
attacchi e in...
La grande diffusione di Wordpress tra i CMS
Questa grande diffusione ne fa purtroppo anche il principale obbiettivo degli ...
A quali problemi vado incontro se non mi proteggo?
• Link SQL Injection: gli spammers, nella migliore delle ipotesi, posso...
Oggi parleremo di questi argomenti:
1) Impostazioni base durante l’installazione di Wordpress
2) Come individuare e contro...
1) Partiamo dalle basi, il file config.php
solo un promemoria senza voler essere ripetitivo ;-)
• Salatura dei cookies, ge...
Attenzione anche a:
• Consiglio vivamente di stare attenti nell’uso di temi gratuiti perché spesso contengono link e
codic...
2) Individuare e correggere i punti critici
• http://wordpress.org/plugins/better-wp-security/
Utilissimo plugin che ci co...
3)Controllare e correggere i permessi delle cartelle
• http://wordpress.org/plugins/wp-security-scan/
Gualtiero Santucci -...
Installare un firewall
Consiglio l’installazione del Wordpress Firewall 2*:
http://downloads.wordpress.org/plugin/wordpres...
Limitare le duplicazioni interne con Widget Logic
http://downloads.wordpress.org/plugin/widget-logic.0.56.zip
http://codex...
Controllare ottimizzazioni on page con Seo Pressor
www.seopressor.com
Gualtiero Santucci - @ranklabstudio - info@ranklab.i...
Riepilogo di alcuni plug-in utili per semplificarsi la vita
• http://wordpress.org/plugins/better-wp-security/ ottimo plug...
Grazie a tutti!
I miei recapiti
Gualtiero Santucci
E-mail: info@posizionamento-nei-motori.com – info@ranklab.it
Twitter: w...
Upcoming SlideShare
Loading in …5
×

Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress

972 views

Published on

Slide del mio intervento al Webreevolution 2013 di Roma incentrato su come aumentare la sicurezza di Wordpress, partendo dalle basi de file di configurazione fino ai plugins utili per la gestione dei punti critici.

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
972
On SlideShare
0
From Embeds
0
Number of Embeds
142
Actions
Shares
0
Downloads
6
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress

  1. 1. Diffuso, Flessibile, Versatile, Sicuro? Come rendere Wordpress più sicuro con alcuni accorgimenti prevenendo attacchi e intrusioni in rete correggendo oltre 50 punti critici. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution «Una vigile e provvida paura è la madre della sicurezza» Edmund Burke
  2. 2. La grande diffusione di Wordpress tra i CMS Questa grande diffusione ne fa purtroppo anche il principale obbiettivo degli attacchi in rete. Dopo ogni nuova release di Wordpress, gli sviluppatori comunicano pubblicamente quali falle di sicurezza sono state patchate, e queste informazioni vengono poi usate dagli hackers per attaccare i siti che non sono ancora stati aggiornati con l’ultima versione. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  3. 3. A quali problemi vado incontro se non mi proteggo? • Link SQL Injection: gli spammers, nella migliore delle ipotesi, possono riempire il nostro sito di link* verso i loro siti di spam, spesso invisibili ma trovati e indicizzati da Google facendoci perdere rank e traffico fino ad essere penalizzati, il lungo lavoro che abbiamo fatto sui nostri siti può quindi essere vanificato in breve tempo. Può accadere anche di vedere il nostro database interamente cancellato e se non abbiamo una copia di backup sono dolori. Cosa posso fare di concreto per proteggere il mio Wordpress? *I link spam sono quasi sempre diretti verso siti di Gambling, Viagra ed altri medicamenti e siti a carattere pornografico. I consigli che da sempre sentiamo su come proteggersi sono quelli di aggiornare sempre all’ultima versione disponibile e fare regolari copie di backup del nostro database, ma questo è sufficiente? NO! NON è sufficiente perché esistono molti punti critici in Wordpress che consentono agli spammers di conoscere quasi tutto del nostro sistema, ricavare informazioni e quindi poi accedere, sfruttandone le vulnerabilità e fare ciò che vogliono. Bisogna quindi fare di tutto per rendere il nostro Wordpress il più ermetico possibile, vediamo come! Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  4. 4. Oggi parleremo di questi argomenti: 1) Impostazioni base durante l’installazione di Wordpress 2) Come individuare e controllare i punti critici 3) Dimostrazione pratica dei plug-in utili 4) Altre verifiche sui permessi delle cartelle essenziali di Wordpress 5) Uso del firewall, alerts e protezione 6) Uso intelligente dei widgets con Widget logic 7) Tenere sotto controllo alcuni parametri dei nostri contenuti (SEO) Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  5. 5. 1) Partiamo dalle basi, il file config.php solo un promemoria senza voler essere ripetitivo ;-) • Salatura dei cookies, generatore qui: https://api.wordpress.org/secret-key/1.1/salt/ • Prefisso delle tabelle del database Standard= $table_prefix = ‘wp_'; Modificato= $table_prefix = 'deN6h_'; Sbagliato= define('DB_PASSWORD', ‘miosito'); • Password del database Corretto= define('DB_PASSWORD', 'wPewb9G6'); • Creiamo uno user che non sia il solito ‘admin’ perché se non lo cambiamo, lo spammer conoscerà già la metà del nostro login. • Cambiamo la directory per gli upload Standard= wp-content/uploads Corretto a= wp-content/custom-upload-directory Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  6. 6. Attenzione anche a: • Consiglio vivamente di stare attenti nell’uso di temi gratuiti perché spesso contengono link e codici nascosti, quindi meglio spendere 30/40 dollari per un buon tema a pagamento che rischiare di avere il sito pieno di schifezze. • Disattivate ed eliminate i plug-in e i temi che non usate o che non sono realmente essenziali perché sono sempre possibili punti di intrusione. • Esistono alcuni plug-in che possono darci una mano nell’individuazione e nella correzione dei punti critici, con pochi click possiamo rendere il nostro wordpress molto più sicuro. Vediamone alcuni! Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  7. 7. 2) Individuare e correggere i punti critici • http://wordpress.org/plugins/better-wp-security/ Utilissimo plugin che ci consente di individuare facilmente i punti critici del nostro Wordpress e di correggerli subito. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  8. 8. 3)Controllare e correggere i permessi delle cartelle • http://wordpress.org/plugins/wp-security-scan/ Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  9. 9. Installare un firewall Consiglio l’installazione del Wordpress Firewall 2*: http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip Una volta installato vi invierà degli alerts sulla vostra e-mail, indicandovi l’IP dell’attaccante e se lo vorrete potrete metterlo subito in blacklist. *( Lo sviluppo di questo plugin risulta interrotto, ma risulta ancora funzionante sulle ultime versioni di Wordpress, in ogni caso ne esistono anche altri) Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  10. 10. Limitare le duplicazioni interne con Widget Logic http://downloads.wordpress.org/plugin/widget-logic.0.56.zip http://codex.wordpress.org/Conditional_Tagshttp://wordpress.org/plugins/reveal-ids-for-wp-admin-25/ + Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  11. 11. Controllare ottimizzazioni on page con Seo Pressor www.seopressor.com Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  12. 12. Riepilogo di alcuni plug-in utili per semplificarsi la vita • http://wordpress.org/plugins/better-wp-security/ ottimo plug-in che individua e corregge impostazioni e permessi in automatico e ci consente di schedulare regolari backup del database. • http://wordpress.org/plugins/wordpress-firewall-2/ firewall che protegge dagli attacchi e tentativi di intrusione più comuni. • http://wordpress.org/plugins/wp-security-scan/ plug-in per verificare la correttezza dei permessi delle principali cartelle di Wordpress e altro. • http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip Plug-in che protegge dalla maggior parte degli attacchi in rete verso il nostro Wordpress, anche se non più aggiornato, appare ancora funzionante sulle ultime release di Wordpress. • http://www.blockcountryip.com/ Sito dove si possono avere le liste degli ip secondo la nazione che intendiamo limitare o bloccare del tutto, normalmente si bloccano le nazioni da dove provengono più attacchi ( naturalmente se non ci interessa ricevere traffico da quella zona ) • http://downloads.wordpress.org/plugin/widget-logic.0.56.zip Utile plugin che consente una intelligente gestione dei widget, consentendo di destinare menu ed elementi solo a specifiche pagine o post del sito. • http://codex.wordpress.org/Conditional_Tags Pagina di Wordpress dove trovare i Conditional tags da usare con widget logic. • http://ottodestruct.com/decoder.php pagina che consente di effettuare il reverse decoding di files criptati, serve appunto per vedere in chiaro il codice criptato se abbiamo sospetto sia malware. • http://seopressor.com/ utile plug-in che serve a monitorare le ottimizzazioni e principali % on page. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  13. 13. Grazie a tutti! I miei recapiti Gualtiero Santucci E-mail: info@posizionamento-nei-motori.com – info@ranklab.it Twitter: www.twitter.com/ranklabstudio Facebook: https://www.facebook.com/pages/RankLab-Studio-SEO-Web-Agency/236003766413408 Linkedin: it.linkedin.com/pub/gualtiero-santucci/1/a73/b50 Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

×