Meetup Lugano - ABC della sicurezza con WP ed istallazione di un certificato SSL

1. Virginio Laurini
Sono più di trent’anni che mi occupo di IT.
Ho iniziato a sviluppare software quando ancora non
esisteva Ms Windows, e i PC avevano meno potenza
dei vostri attuali telefoni.
Ho seguito e creato progetti tecnologici di qualunque
tipo...
Virginio
ma non sono ancora stanco di conoscere cose nuove!

2. Security => Alway$ ON
0 1 2 3 4 5 6 7 8
0
20000
40000
60000
80000
100000
120000
Recupero da crash
Deploy
Danno
Tempo
Costo($)
0 1 2 3 4 5 6 7 8 9
0
10000
20000
30000
40000
50000
60000
70000
Dati persi
Deploy
Dati persi
Tempo
Costo($)

3. Visione globale
Cyber Attack
HW & SW Fault
✔
Firewall
✔
Hardening
✔
Social Engineering
✔
Backup
✔
HA
✔
HW & SW analysis

4. Security To Do List...
1.AggiornareWP,Plugin,Themes
2.Hardening DIY
3.Backup
4.Hosting sicuro
5.SSL
6.Pluginper la sicurezza
7.Scanner on-line

5. Aggiornare WP,Plugins e
Temi
Reuters è stata violata nel 2012 perché utilizzava una versione obsoleta di
WordPress !
http://www.internetlivestats.com/watch/websites-hacked
Più del 60% degli attacchi agiscono sulle falle dei plugin e dei temi, quindi
scegliamo plugin sicuri: già utilizzati da molti (>200000), sviluppati da
società riconosciute ed aggiornati da meno di due anni.
Prima legge dell’informatica applicata:
“Quel che non c’è non si può rompere… e non rompe! ” (Virginio Laurini)

6. Hardening DIY
●
Cambiare lo user di default admin
●
Spostare il file di wp-config
●
Eliminare i file di installazione
●
Disattivare REST API / RPC
●
Verificare i permessi dei file
●
Nascondere la versione di WordPress
●
Disabilitare l’editor dal backend
●
Keep It Clean !
●
… tanto altro

7. Backup
Plugin or Script ?
Ø Backup Guard Pro
Ø UpdraftPlus WordPress Backup
Ø Jetpack
Ø Duplicator
Ø All-in-One WP Migration
Ø Rsync
Ø MysqlDump
Ø Crontab

8. Hosting sicuro
Be Cheap
or
NOT to be Cheap ?
FTP
PHPMyadmin
Windows Terminal Server
SSH
Tunnel SSH x Mysql
SFTP
Root Jail

9. SSL
Perché ?
Comunicazioni criptate sono un MUST non solo per le transazioni
economiche (eCommerce), ma anche per un buon punteggio
SEO. Google assegna un basso punteggio ai siti NON protetti da
un certificato SSL.
LetsEncrytp, Comodo, o Verisign ?
Se il sito da proteggere tramite SSL non ha necessità particolari,
transazioni economiche, reputazione (vedi banche, società di
trading, ecc.) un certificato gratuito LetsEncrypt va benissimo.

10. Plugins per la
sicurezza
●
Wordfence Security
●
Sucuri Security
●
JetPack
●
iThemes Security
●
Captcha Code
●
Really Simple SSL

11. Scanner on-line
●
https://sitecheck.sucuri.net
●
https://wpscans.com
●
https://hackertarget.com/wordpress-security-scan

12. Vai a vedere qui...
●
https://kinsta.com/it/blog/wordpress-e-sicurezza
●
https://kinsta.com/it/blog/aggiornamenti-automatici-di-wordpress
●
https://skillsandmore.org/sicurezza-wordpress-regole
●
https://codex.wordpress.org/Hardening_WordPress
●
https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline

13. E se avete dubbi...
Date a me la vostra
carta di credito...