Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Silvia Cariello
Presentazione dell'intervento al WordCamp Milano 2016 #wcmil sulle regole per generare username e password sicure, come testarli e verificarne l'inviolabilità, strumenti per eseguire backup manuali e automatici, i plugin base per rendere più sicuro il vostro sito web ed evitarne l'hacking.
La presentazione inoltre contiene esempi di configurazione di del Plugin "All in One WP Security & Firewall"
Come aumentare la sicurezza della propria installazione TYPO3 e delle proprie estensioni! Le slide del mio intervento al t3CampItalia 2011 dove ho parlato di come configurare al meglio TYPO3 in fase di installazione, su quali tecniche adottare per evitare gli attacchi più diffusi (es. sql injection e cross site scripting) e su quali estensioni possono aiutare a difendersi dagli attacchi (es. PHPIDS Intrusion Detection System).
Guida al Computer - Lezione 189 - Windows 10 - Sezione impostazioni - Aggiorn...caioturtle
Sezione aggiornamenti e sicurezza in Windows 10. Come tenere aggiornato, in sicurezza il sistema operativo creando anche backup e ripristino di file e Windows.
Introduzione a WordPress: dall'installazione all'utilizzo del backendSilvia Cariello
1. Panoramica di WordPress
a) Cos’è WordPress e cosa sono i CMS
b) La Community e i WordCamp
c) Ambiente e sviluppo ottimale
d) Da dove si scarica e cosa serve per installarlo manualmente e) Scelta hosting WordPress con CMS preinstallato
2. Installazione di WordPress
a) Installazione e configurazione
3. Panoramica e Installazione di un tema
a) Da dove si scaricano e quali scegliere
b) Installazione e configurazione
c) Personalizzazione con il Personalizza/Customuzer
4. Panoramica e Installazione di un Plugin
a) Da dove si scaricano e quali scegliere
b) Installazione e configurazione
c) Quali sono i Plugin consigliati e perché
5. Panoramica Bacheca
6. Panoramica e inserimento contenuti (Articoli, Pagine, Media) a) Articoli VS Pagine cosa sono e differenze
b) Creazione e modifica di un articolo
c) Creazione e modifica di una pagina
d) Inserimento e nomi dei media (immagini, pdf, docx, etc)
e) Cenni ala SEO (Search Engine Optimizzazion) per Articoli Pagine e Media
7. Panoramica Utenti
a) I livelli di utenza
b) Scelta username e password
8. Domande 30 minuti
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Silvia Cariello
Presentazione dell'intervento al WordCamp Milano 2016 #wcmil sulle regole per generare username e password sicure, come testarli e verificarne l'inviolabilità, strumenti per eseguire backup manuali e automatici, i plugin base per rendere più sicuro il vostro sito web ed evitarne l'hacking.
La presentazione inoltre contiene esempi di configurazione di del Plugin "All in One WP Security & Firewall"
Come aumentare la sicurezza della propria installazione TYPO3 e delle proprie estensioni! Le slide del mio intervento al t3CampItalia 2011 dove ho parlato di come configurare al meglio TYPO3 in fase di installazione, su quali tecniche adottare per evitare gli attacchi più diffusi (es. sql injection e cross site scripting) e su quali estensioni possono aiutare a difendersi dagli attacchi (es. PHPIDS Intrusion Detection System).
Guida al Computer - Lezione 189 - Windows 10 - Sezione impostazioni - Aggiorn...caioturtle
Sezione aggiornamenti e sicurezza in Windows 10. Come tenere aggiornato, in sicurezza il sistema operativo creando anche backup e ripristino di file e Windows.
Introduzione a WordPress: dall'installazione all'utilizzo del backendSilvia Cariello
1. Panoramica di WordPress
a) Cos’è WordPress e cosa sono i CMS
b) La Community e i WordCamp
c) Ambiente e sviluppo ottimale
d) Da dove si scarica e cosa serve per installarlo manualmente e) Scelta hosting WordPress con CMS preinstallato
2. Installazione di WordPress
a) Installazione e configurazione
3. Panoramica e Installazione di un tema
a) Da dove si scaricano e quali scegliere
b) Installazione e configurazione
c) Personalizzazione con il Personalizza/Customuzer
4. Panoramica e Installazione di un Plugin
a) Da dove si scaricano e quali scegliere
b) Installazione e configurazione
c) Quali sono i Plugin consigliati e perché
5. Panoramica Bacheca
6. Panoramica e inserimento contenuti (Articoli, Pagine, Media) a) Articoli VS Pagine cosa sono e differenze
b) Creazione e modifica di un articolo
c) Creazione e modifica di una pagina
d) Inserimento e nomi dei media (immagini, pdf, docx, etc)
e) Cenni ala SEO (Search Engine Optimizzazion) per Articoli Pagine e Media
7. Panoramica Utenti
a) I livelli di utenza
b) Scelta username e password
8. Domande 30 minuti
Slide del mio intervento al Webreevolution 2013 di Roma incentrato su come aumentare la sicurezza di Wordpress, partendo dalle basi de file di configurazione fino ai plugins utili per la gestione dei punti critici.
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...Paolo Valenti
WordPress gestisce il 69% dei siti realizzati con CMS. Nonostante ciò, o forse proprio per questo, i venditori di altre soluzioni, spesso, invece di mettere in evidenza i punti di forza delle loro soluzioni, passano il loro tempo a parlare male di WordPress.
Questa è una piccola guida per mettervi nelle condizioni di scegliere al meglio.
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiLaura Lonighi
10 consigli per rendere il tuo sito web in WordPress più sicuro, dal più semplice da mettere in pratica, al più complesso.
Video della diretta: https://www.youtube.com/watch?v=_iYbDybe_Fg
Dopo aver scoperto nelle slide precedenti, che cosa sa fare il CMS WordPress e come utilizzarlo per avviare un proprio progetto web, ecco che interviene la necessità di mettere al sicuro sin da subito il proprio progetto. Quindi quale miglior modo di farlo, se non seguendo questi piccoli consigli.
Ogni volta che con il nostro computer ci colleghiamo alla Rete, che sia per svolgere attività personali o di lavoro, ci esponiamo al rischio di essere infettati da virus e altri software malevoli oppure che ci vengano carpiti dati per noi molto importanti.
Ma tranquilli, riuscire a proteggersi è possibile e con le soluzioni che trovate qui sarà facile oltre che economico!
Ecco 12 soluzioni free ed Open Source da usare subito!
Una serie di slides per vedere come usare msfvenom per la creazione di un payload da eseguire su una macchina Windows 7 ed effettuare un Exploitation in uno "scenario ideale" di Phishing/Social Engineering.
Subito dopo l'exploitation tratteremo del Maintaining Access installando la backdoor e vedremo qualche funzionalità che offre la shell Meterpreter
Slide del mio intervento al Webreevolution 2013 di Roma incentrato su come aumentare la sicurezza di Wordpress, partendo dalle basi de file di configurazione fino ai plugins utili per la gestione dei punti critici.
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...Paolo Valenti
WordPress gestisce il 69% dei siti realizzati con CMS. Nonostante ciò, o forse proprio per questo, i venditori di altre soluzioni, spesso, invece di mettere in evidenza i punti di forza delle loro soluzioni, passano il loro tempo a parlare male di WordPress.
Questa è una piccola guida per mettervi nelle condizioni di scegliere al meglio.
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiLaura Lonighi
10 consigli per rendere il tuo sito web in WordPress più sicuro, dal più semplice da mettere in pratica, al più complesso.
Video della diretta: https://www.youtube.com/watch?v=_iYbDybe_Fg
Dopo aver scoperto nelle slide precedenti, che cosa sa fare il CMS WordPress e come utilizzarlo per avviare un proprio progetto web, ecco che interviene la necessità di mettere al sicuro sin da subito il proprio progetto. Quindi quale miglior modo di farlo, se non seguendo questi piccoli consigli.
Ogni volta che con il nostro computer ci colleghiamo alla Rete, che sia per svolgere attività personali o di lavoro, ci esponiamo al rischio di essere infettati da virus e altri software malevoli oppure che ci vengano carpiti dati per noi molto importanti.
Ma tranquilli, riuscire a proteggersi è possibile e con le soluzioni che trovate qui sarà facile oltre che economico!
Ecco 12 soluzioni free ed Open Source da usare subito!
Una serie di slides per vedere come usare msfvenom per la creazione di un payload da eseguire su una macchina Windows 7 ed effettuare un Exploitation in uno "scenario ideale" di Phishing/Social Engineering.
Subito dopo l'exploitation tratteremo del Maintaining Access installando la backdoor e vedremo qualche funzionalità che offre la shell Meterpreter
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
Venerdì 11 dicembre alle 21:15 in via Episcopio Vecchio 9 a Forlì, presso l’Istituto Salesiano “Orselli”, avremo il piacere di ospitare Andrea Draghetti, componente del Team di Sviluppo del progetto BackBox Linux ed esperto in sicurezza informatica. Con noi ci saranno anche i nostri amici di ImoLUG, per compagnia e supporto come da miglior tradizione acara.
Si tratta di una serata dal carattere prettamente tecnico ed operativo che inaugura un piccolo ed informale laboratorio collaborativo di sicurezza informatica e computer forensics, nato dalle richieste di alcuni soci del Folug aperto a chiunque sia interessato a questi argomenti.
Data la natura dell’incontro e la notevole professionalità del relatore si “smanetterà” alla grande; quindi lasciate perdere testi teorici e preparatevi a vedere esempi pratici degli argomenti che verranno trattati:
1. Nmap (Scansione porte, fingerprint, ecc)
2. Dirs3arch (File e Directory Bruteforce)
3. Wpscan (Scanner di exploit della piattaforma wordpress)
4. SQLMap (sqlinjection)
5. Metasploit (Remote File Inclusion e Privilege Escalation)
Il sistema operativo di riferimento sarà BackBox Linux, distro italiana votata alla sicurezza informatica ed alle analisi forensi, particolarmente apprezzata da chi scrive per la sua versalità, stabilità e completezza. Questa distro raccoglie al suo interno, secondo le linee guida del software Debian, tutta una serie di tools sia relativi alla sicurezza informatica per aiutare gli ethical hackers nel loro lavoro di messa in sicurezza di sistemi e di applicazioni sia strumenti finalizzati a svolgere analisi sui computer per la ricerca di prove (computer forensics), senza dimenticare la possibilità di essere usata come distro “da tutti i giorni”.
Di seguito, il link per poterne scaricare una copia:
https://www.backbox.org/downloads
L’evento non potrà essere trasmesso in streaming a causa della connessione raccapricciantemente lenta della nostra sede, ma, nello stile Open Source che ci ha sempre contraddistinto, tutto il materiale liberamente pubblicabile sarà postato nel nostro blog quanto prima… speriamo con qualche sorpresa
Fonte: http://www.folug.org/2015/12/06/serate-l-folug-il-pen-test-con-backbox-linux/
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
In questo talk viene analizzata una semplice backdoor realizzata in Python. Il talk procede con l'explotation di una macchina Windows 7 tramite un attacco di Pishing e subito dopo con l'installazione di una backdoor persistence facendo vedere alcune delle funzionalità offerte. Il talk si conclude invitando l'utente a nascondere la propria webcam sensibilizzandolo sull'argomento. Il motivo per cui ho scelto di parlare di questo argomento, ha a che fare con le differenze che sorgono tra software open e software close, dato che nel primo è possibile tramite la lettura e comprensione del codice capire se il sistema ha routine di codice che si comportano come backdoor mentre nel secondo non sappiamo se ne esistono (data l'impossibilità di leggere il codice sorgente) e quindi dal momento che la sicurezza non si è mai basata sulla fiducia del produttore, è importante prevenire (mettendo delle etichette di plastica sulle nostre webcam).
BackBox Linux: Simulazione di un Penetration Test e CTFAndrea Draghetti
La sicurezza informatica sta diventando uno degli aspetti sempre più importanti nell'uso di strumenti digitali con cui abbiamo a che fare ogni giorno.
Il relatore Andrea Draghetti ci mostrerà le cinque fasi principali di un Penetration Test:
Information Gathering
Vulnerability Assessment
Exploitation
Privilege Escalation
Maintaining Access.
Utilizzando alcuni dei software preinstallati in BackBox (il relatore fa parte della community staff del progetto) e sfruttando alcune vulnerabilità, attaccherà un Server Web basato su Ubuntu Linux
LinuxDay 2009
Una presentazione rivolta agli studenti del triennio informatico di un ITIS su Linux e qualche nozione di sicurezza. Venne accompagnata da una demo di social hacking su Facebook.
DECC Ransomware è un cripto-malware dannoso e un'infezione del computer che appartiene alla famiglia Ransomware. Esegue il modulo di crittografia nel computer e inizia a bloccare tutti i file memorizzati nella macchina. Ti chiede di acquistare le chiavi / gli strumenti di decodifica per la decodifica. Altrimenti, perderai tutti i dati personali in modo permanente. Quindi, è necessario rimuovere questo tipo di infezione dai PC il più presto possibile. https://malware-remove.com/it/come-rimuovere-decc-ransomware
WordPress in fricassea: dal php all'IoTPaolo Valenti
WordPress è un CMS molto flessibile. I macchinari per cucinare si sono evoluti. Ogni ricetta è redatta per uno o più macchinari. Ogni ricetta può essere ricalcolata in base a numero di persone, quantità d ingredienti, tipologia di macchina. Il ricalcolo rispetta il volume dei macchinari che utilizzate, e non vi capiterà più di rovinare il macchinario perché supera il limite. WordPress si potrà collegare, via API, ai macchinari che lo permettono, per avere le istruzioni direttamente sul video del macchinario stesso.
WordPress: un potente strumento per gestire i contenuti sui social network | ...Paolo Valenti
WordPress è il software open source più utilizzato al mondo per creare blog, siti, progetti di comunicazione e altro. Sono circa 62 milioni i siti powered by WordPress, un CMS completo che può essere utilizzato come framework per realizzare applicazioni Web.
Anche in Italia è uno degli strumenti preferiti per realizzare blog, siti e progetti. Dal 2006 WordPress Italia è il traduttore ufficiale di WordPress e fornisce assistenza gratutita agli utilizzatori Dal 2008 organizza WordCamp in Italia.
L’evento farà parte dei WPDays, e sarà un panel dedicato a spiegare come WordPress può migliorare l’esperienza sui Social Network.
Questi gli interventi:
+ Gestire al meglio Facebook
+ Speaker: Paolo Valenti (@wolly)
+I Plugin social per WordPress
+Speaker: Stefano Aglietti (@SteveAgl)
+WordPress è un ottimo strumento per gestire le Tab Facebook della propria pagina o dei propri clienti
+Speaker: Alessio Luparelli
2. Rendere sicuro
WordPress, la grande
bufala
La sicurezza è un approccio globale,
prima che tecnico, mentale.
WordPress meetup - Milano 2014
3 dicembre
4. Wolly
aka
Paolo Valenti
paolovalenti.info
wpitaly.it
wolly66@gmail.com
skype:wolly66
twitter/wolly
facebook.com/wolly
tel: 3932948156 (for women only)
5. La sicurezza non esiste
L’unico sistema veramente sicuro è
spento, affogato in una bara di
cemento, chiuso in un caveau
sotteranneo, blindato e sorvegliato
da guardie armate – e anche in
quel caso continuo ad avere dei
dubbi - Prof. Eugene Spafford –
Purdue University
9. Sei sveglio?
Buongiorno, sono Marco del
supporto tecnico.
Ciao Marco, dimmi.
Devi darmi il tuo username e
password che dobbiamo fare
degli aggiornamenti
username: pippo, password:
pluto
11. Phishing - doppia
autenticazione
Dear Gmail customer
From now if you need more than 2 GB of space use this
invitation and upgrade your account to 100 GB of space also
you can register one free domain name via this invitation
your account upgrade will done after 24 hours
your invitation code is: http://gmailupgrades.com/Gmail-
Account-Upgrade/…/
Thank You
Gmail Support Department
11
13. Backup
Cos’è un backup?
La propria politica di backup
Backup del database
Backup dei file
13
14. Cos’è?
Il backup è la copia di tutto il
nostro lavoro.
Il backup ci permette di
ripristinare il nostro lavoro se
per qualsiasi motivo dovesse
perdersi
Il backup è la nostra ancora di
salvezza
14
15. Politica di backup
Backup giornaliero del database
Backup settimanale degli
attachments
Backup mensile
dell’installazione
Disseminazione dei backup nel
cloud
15
16. I dati dei vostri post e delle vostre pagine vengono salvati
in due posti distinti e separati:
I testi dei post, delle pagine, dei custom post type, i menù, le
impostazioni dei temi etc. vengono tutte salvate nel database
Le immagini, gli attachment vengono salvati sul server nella
directory uploads situata nella directory wp-content
16
17. Backup del database
phpMyAdmin è il software per
gestire i database e fare i
backup.
17
18. Backup dei file
filezilla è un software open
source, multipiattaforma per
fare il backup dei file via ftp
18
21. Import
In backend, menù strumenti,
troviamo la funzione importa che ci
permette di importare i contenuti
da molte piattaforme e
naturalmente ci permette di
importare da ogni installazione
WordPress sia wodpress.com che
wordpress.org
21
22. Export
In backend, menù strumenti,
troviamo la funzione esporta che ci
permette di esportare tutti i nostri
contenuti in un formato XML che
potremo poi importare in ogni
installazione WordPress sia
wodpress.com che wordpress.org
22
24. regole base
Usare sempre la versione più recente di WordPress
Backup del database giornaliero
Backup dei file
Usare password forti We4_78Horz
24
25. regole base
Aggiornare i plugin
Eliminare i plugin inutilizzati
Scaricare temi solo da siti sicuri e conosciuti
25
26. regole base installazione
non usare wp_ come prefisso delle tabelle, usare la
tecnica del gatto: 383j8w_
l’utente amministratore NON deve essere admin
Chiudere la registrazione al sito
se le registrazioni sono aperte, il livello di registrazione
deve essere il più basso: sottoscrittore.
26
27. ricordati sempre che:
Nessun Plugin è più importante della sicurezza del tuo
blog
Nessun Tema è più importante della sicurezza del tuo
blog
Non c’è nessun motivo valido per non aggiornare il tuo
blog prontamente
27
28. ricordati sempre che:
Se il tuo blog è compromesso potresti creare danni
anche agli altri ospiti del tuo hosting condiviso.
Backup, backup e ancora backup.
Se non hai tempo o voglia di seguire la parte tecnica del
tuo blog c’è sempre WordPress.com e non è un ripiego e
i tuoi contenuti non vengono sminuiti.
28
29. Si, lo so
In internet si trovano “tons of posts” con soluzioni
magiche tipo quello di un tizio che mi ha chiesto un
parere e gli ho risposto: hai scritto una marea di cagate,
le cancellerei. Lui ha replicato: io non sono un esperto di
sicurezza, le ho trovate su internet e mi sembra giusto
pubblicarle!
Game, set, match.
29
30. I ruoli
Web designer: cura la grafica
Developer: installa, scrive codice sicuro, aggiorna
Sys admin: si occupa della configurazione della
piattaforma hardware e si occupa di gestire la sicurezza
globale.
30
31. Scelta dei plugin
Solo da autori noti e riconosciuti
Non basarsi sul numero dei download, il fatto che sia
stato scaricato un milione di volte NON significa che un
milione di persone lo hanno controllato, mail poet ne è
un esempio, timbthumb è un altro esempio
i plugin sul repository di wordpress.org NON sono
verificati
31
37. mi hanno “acherato” tutto il
server
Mi è successo l’anno scorso
file di backup ricevuto da persona affidabile di grande
società
tre rootkit e malware assortiti
38. Come ho risolto?
Indagine
Antivirus
Backup
Nessuno è più affidabile