Presentazione dell'intervento al WordCamp Milano 2016 #wcmil sulle regole per generare username e password sicure, come testarli e verificarne l'inviolabilità, strumenti per eseguire backup manuali e automatici, i plugin base per rendere più sicuro il vostro sito web ed evitarne l'hacking.
La presentazione inoltre contiene esempi di configurazione di del Plugin "All in One WP Security & Firewall"
2. Panoramica: quali argomenti vedremo insieme?
Generazione e test per
Password e Username sicuri
Backup spazio web:
• manuali
• automatici
Backup Database:
• manuali
• automatici
Aggiornamenti di sistema.
Installazione Plugin per la
sicurezza del vostro sito.
3. Importanza di Password e Username sicuri
Partiamo dalle basi!
Per l’accesso al
back end
non dobbiamo
MAI
utilizzare
come USERNAME:
• Admin
• Administrator
• Il nome del dominio
• Il nome del sito
4. Importanza di Password e Username sicuri
Perché?
Sono le credenziali
che gli HACKER
utilizzano per prime
per provare a violare
il nostro SITO WEB
Fonte immagine Gmail mail.google.com
5. Importanza di Password e Username sicuri
Qual è un username sicuro?
Purtroppo non
ne esiste
uno sicuro al 100%
MA…
…possiamo utilizzare
alcuni trucchi:
• inserire caratteri speciali
• sostituire lettere con
numeri
6. Importanza di Password e Username sicuri
Come?
Ad esempio il signor
Mario Rossi potrebbe
utilizzare come
username:
M@r10-r0s$I
Dove ha sostituito:
• le a con il simbolo @
• le i con il numero 1
• le o con lo 0
• le s con il simbolo $
7. Importanza di Password e Username sicuri
Come?
Creando così
combinazioni di
lettere e numeri
più difficili da decifrare
Fonte immagine CMS WordPress
8. Importanza di Password e Username sicuri
…e per la Password?
In linea di massima
valgono le stesse regole
utilizzate per username,
ma soprattutto NON
dobbiamo utilizzare…
…come PASSWORD:
• ripetizione username
• il nostro nome
• la nostra data di nascita
• solo lettere o numeri
• 1234, qwerty, password
9. Importanza di Password e Username sicuri
Perché?
Perché sono le prime
che gli HACKER
tentano sul nostro sito
e hanno una probabilità
molto alta di essere
identificate
Fonte immagine kaspersky.com
10. Importanza di Password e Username sicuri
In quanto tempo si «cracka» una password non sicura?
Password brevi, che
presentano solo lettere
o numeri, sono molto
facili da «crackare»
alcune nel giro
di pochi secondi
Fonte immagine kaspersky.com
11. Importanza di Password e Username sicuri
Qual è una password sicura?
Anche in questo caso,
purtroppo non esiste
una password
sicura al 100%
MA…
…possiamo utilizzare
alcuni trucchi:
• inserire caratteri speciali
• sostituire lettere con
numeri
• utilizzare il generatore
password di WordPress
12. Importanza di Password e Username sicuri
Come?
Ad esempio il signor
Mario Rossi nato a Roma
il 12/02/1965
potrebbe utilizzare come
password:
!doDic1-F3b6Cinq-RM/
Dove ha sì utilizzato la sua
data di nascita ma ha:
• scritto giorno mese anno
alternando maiuscole,
minuscole e numeri
• utilizzato caratteri
speciali
13. Importanza di Password e Username sicuri
Come?
Creando così
combinazioni di
lettere e numeri
più difficili da decifrare
e rendendo la sua
PASSWORD SICURA
Fonte immagine CMS WordPress
14. Importanza di Password e Username sicuri
Alcuni «tool» per verificare l’inviolabilità della password
1°
il generatore password
integrato in WordPress.
WordPress segnala sempre
se la password inserita è:
• Forte
• Media
• Debole
• Molto Debole
Fonte immagine CMS WordPress
15. Importanza di Password e Username sicuri
Alcuni «tool» per verificare l’inviolabilità della password
2°
Strumento Forza Password
del Plugin WordPress
«All in One WP
Security and Firewall»
Il Plugin ci avvisa in quanto
tempo la password
potrebbe essere «crackata»
Fonte immagine CMS WordPress
16. Importanza di Password e Username sicuri
Alcuni «tool» per verificare l’inviolabilità della password
3°
La risorsa online
«Kaspersky secure
password check»
Questo tool ci segnala in
quanto tempo la nostra
password potrebbe essere
crackata da un computer
anni 80 o da uno di ultima
generazione
Fonte immagine kaspersky.com
17. Importanza di Password e Username sicuri
Ricapitolando
Per avere username e
password sicuri
basta seguire
alcune semplici regole:
1) Se siamo amministratori
WordPress, NON
dobbiamo utilizzare
• Admin/administrator
• Password e username
uguali
18. Importanza di Password e Username sicuri
Ricapitolando
Per avere username e
password sicuri
basta seguire
alcune semplici regole:
2)
• Alternare lettere
maiuscole, minuscole e
numeri
• Sostituire alcune lettere
con numeri e simboli
• Inserire simboli
19. Importanza di Password e Username sicuri
Ricapitolando
Per avere username e
password sicuri
basta seguire
alcune semplici regole:
3)
Verificare l’inviolabilità della
password con:
• Il generatore password di
WordPress
• Tool nei Plugin di sicurezza
• Tool Online
20. Importanza di Password e Username sicuri
Ricapitolando
Per avere username e
password sicuri
basta seguire
alcune semplici regole:
4)
IL BUON SENSO
21. L’importanza del Backup dei file e del database
Cos’è un Backup?
Il BACKUP è la
COPIA DEI DATI
su un dispositivo di
memorizzazione
che può essere
sia «fisico» che «cloud»
Esattamente quello che
facciamo sui nostri
smartphone per non
perdere le foto e i contatti,
dobbiamo farlo anche per il
nostro sito WordPress.
22. L’importanza del Backup dei file e del database
Perché è importante il Backup?
Perché possiamo essere in
grado di recuperare i
contenuti del nostro sito e
non perdere il lavoro fatto
in caso di:
• HACKING del sito
• MALFUNZIONAMENTO
di server/hosting/database
• ERRORI da parte nostra
23. L’importanza del Backup dei file e del database
Come non rischiare di perdere il nostro sito?
Ci sono alcune pratiche
preliminari alla
realizzazione del sito che
possono metterci al sicuro.
Queste pratiche vanno
attuate già al momento
dell’acquisto
del nostro dominio.
24. L’importanza del Backup dei file e del database
1. Servizio di Backup del Provider
I provider di server e
hosting consentono di
associare più servizi al
dominio acquistato.
QUALI SERVIZI acquistare?
• Backup dello spazio web
su cui risiede il sito
• Backup del database
MySql
25. L’importanza del Backup dei file e del database
1. Servizio di Backup del Provider
Grazie ai SERVIZI di
BACKUP del provider è
possibile recuperare i
contenuti fino a una
settimana prima
o fino all’ultima copia di
«restore» salvata.
Inoltre se non siamo
esperti, sistemisti o
programmatori, possiamo
chiedere al provider stesso
di ripristinarne una copia.
26. L’importanza del Backup dei file e del database
2. Backup «manuali»
Oltre ai servizi offerti dal
Provider, che consiglio di
acquistare sempre, è
possibile fare dei
Backup «MANUALI».
Si, ma come si fanno?
Possiamo utilizzare:
i «tool» presenti sul nostro
pannello di controllo del
dominio oppure installare
alcuni programmi sui nostri
computer.
27. L’importanza del Backup dei file e del database
2. Backup «manuali» - File Manager
Uno strumento presente
nel pannello di controllo
è:
il «FILE MANAGER».
L’accesso al «File Manager»
consente di visualizzare i
file presenti sul nostro
spazio web e di selezionarli
per effettuarne il
DOWNLOAD.
Fonte immagine Personale
28. L’importanza del Backup dei file e del database
2. Backup «manuali» - Database Manager
Un altro strumento
presente nel
pannello di controllo
è il
«DATABASE MANAGER».
Consente di visualizzare
attraverso un’interfaccia
web (phpMyAdmin) le
tabelle del database, di
selezionarle e creare un
DUMP (salvataggio) dei
RECORD su file .sql o .zip
Fonte immagine phpMyAdmin
29. L’importanza del Backup dei file e del database
2. Backup «manuali» - Programmi sul computer
In alternativa ai tool del
pannello di controllo
possiamo installare sul
nostro computer
programmi che hanno le
stesse funzionalità.
Quali?
Ad esempio:
• FileZilla per il backup dei
file
• MySQL per backup
database
30. L’importanza del Backup dei file e del database
2. Backup «manuali» - FileZilla
Connettendoci con
FileZilla, selezionando le
cartelle e i file di
WordPress, possiamo
scaricarli direttamente sul
nostro computer
Fonte immagine Filezilla
31. L’importanza del Backup dei file e del database
2. Backup «manuali» - MySQL
Connettendoci con MySQL
Workbench possiamo
utilizzare la funzionalità
Data Export per esportare
il nostro database e
scaricarne una copia sul
nostro computer.
Fonte immagine dev.mysql.com
32. L’importanza del Backup dei file e del database
2. Backup «manuali»
ATTENZIONE:
Se non siete assolutamente
sicuri di quello che fate,
non improvvisate, perché
potreste fare danni.
CONSIGLIO:
Per i backup manuali
affidiamoci al nostro
Developer, sistemista o
tecnico informatico di
fiducia
33. L’importanza del Backup dei file e del database
3. Backup «automatici»
Come si fanno i backup
automatici?
Semplice!
Installando sul nostro sito
WordPress i Plugin che
hanno questa funzionalità.
34. L’importanza del Backup dei file e del database
3. Backup «automatici» - W i Plugin!
Quali scegliere?
Ce ne sono numerosi e
praticamente si
equivalgono.
È importante scegliere
quelli che fanno al caso
nostro.
35. L’importanza del Backup dei file e del database
3. Backup «automatici» - Quali Plugin? Dipende!
Chiediamoci:
COSA e COME
vogliamo fare questo
Backup?
• Riceverlo via email?
• Salvarlo sul nostro
Cloud?
• Che risieda sullo spazio
web?
36. L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin: Backup via email
Riceverlo via email?
Ottimo!
Esistono Plugin che
inviano:
i file .sql o .zip del database
o una notifica del backup
completo (database e file)
da scaricare dall’area di
amministrazione del sito.
37. L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin: Backup su Cloud
Salvarlo sul Cloud?
Ottimo!
Esistono Plugin che, una
volta collegati al nostro
cloud, consentono
di salvare i file del sito
WordPress e del database
direttamente su:
DropBox
Drive
Amazon
e molti altri servizi cloud.
38. L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin: Backup sul server
Una copia di backup sullo
spazio web?
Ottimo!
Esistono Plugin che
consentono
di salvare i file del sito
WordPress e del database
direttamente in una cartella
sul server.
39. L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin per tutti i gusti!
Una volta scelto il metodo
che preferiamo dobbiamo
solo iniziare!
Vediamo alcuni Plugin di
esempio e come si
comportano.
40. L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin WP All Backup
Invia una notifica email
dell’avvenuto backup
Lo salva sullo spazio web
Consente di collegare il
nostro cloud
(DropBox, Drive, ecc..)
Fonte immagine wordpress.org/plugins/wp-all-backup/
41. L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin All in One WP
Security & FirewallInvia una notifica email
dell’avvenuto backup del
Database
Fonte immagine wordpress.org/plugins/all-in-one-wp-security-and-firewall/
42. L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin BackWPup WordPress
Backup PluginEsegue il backup di
database e file
Inviandolo via email oppure
salvandolo su:
Server, Dropbox, Google
Drive, Microsoft Azure,
Amazon Glacier
Fonte immagine wordpress.org/plugins/ backwpup/
43. L’importanza del Backup dei file e del database
Ricapitolando
È possibile fare backup
utilizzando i SERVIZI del
nostro PROVIDER
Acquistando:
• Servizio di backup dello
spazio web
• Servizio di backup del
database
44. L’importanza del Backup dei file e del database
Ricapitolando
È possibile fare backup
utilizzando gli strumenti
presenti nel
PANNELLO DI
CONTROLLO
Utilizzando:
• «FILE MANAGER» per i
file
• «DATABASE
MANAGER» per il
database
45. L’importanza del Backup dei file e del database
Ricapitolando
È possibile fare backup
utilizzando i programmi
installati sui nostri
computer
Utilizzando:
• «FileZilla» per i file
• «MySQL» per il database
46. L’importanza del Backup dei file e del database
Ricapitolando
È possibile fare backup
utilizzando i Plugin di
WordPress
Scegliendo:
• Backup con notifica
email
• Salvataggio sul cloud
• Salvataggio sul server
48. L’importanza degli Aggiornamenti:
WordPress + Plugin + Theme
A cosa servono gli aggiornamenti?
Gli aggiornamenti servono
ad apportare migliorie e a
risolvere i «bug»
(difetti/malfunzionamenti)
del CMS, Plugin o Tema.
Vanno a sovrascrivere il
codice (php, html,
javascript, css) e il
linguaggio SQL esistente.
49. L’importanza degli Aggiornamenti:
WordPress + Plugin + Theme
Quando farli?
Vanno sempre fatti!
Quando esce un nuovo
aggiornamento del Core di
WordPress devo
aggiornare subito?
Dipende!
È bene verificare che per i
Temi e i Plugin presenti sul
sito WordPress siano stati
rilasciati aggiornamenti
compatibili con l’ultima
versione del CMS.
50. L’importanza degli Aggiornamenti:
WordPress + Plugin + Theme
Plugin e Temi sono compatibili con l’ultima versione di
WordPress?Se Sì
Aggiorniamo pure, ma con
le dovute precauzioni
(Backup!!!)
Se NO
Aspettiamo il rilascio degli
aggiornamenti e
verifichiamo i problemi sui
forum di supporto di
WordPress, Plugin e Temi.
51. L’importanza degli Aggiornamenti:
WordPress + Plugin + Theme
Cosa fare prima di aggiornare?
Provate a indovinare?
BACKUP!!!
Dei file e del database.
Avere un backup completo
ci consente di ripristinare il
sito funzionante, senza
perdere tutto il lavoro
fatto.
52. L’importanza degli Aggiornamenti:
WordPress + Plugin + Theme
Aggiornamento di un Tema
Attenzione!
Verifichiamo che le
personalizzazioni grafiche
presenti del foglio di stile
(style.css)
siano state fatte…
• su un tema Child
appositamente creato o
installato
• nella sezione dedicata
nelle Opzioni del Tema
53. L’importanza degli Aggiornamenti:
WordPress + Plugin + Theme
Aggiornamento di un Tema
Se così non fosse e le
modifiche fossero state
apportate al core del Tema
potremmo rischiare di
perdere le nostre
personalizzazioni.
54. L’importanza degli Aggiornamenti:
WordPress + Plugin + Theme
Perché aggiornare?
Perché se non aggiorniamo
spesso, gli HACKER
possono sfruttare le falle
nel sistema, che sono state
risolte negli aggiornamenti,
per violare il nostro sito.
Infatti spesso mandano
delle «stringhe di codice
dannose» a minare la
sicurezza del nostro sito
web.
Non facciamoci cogliere
impreparati!
55. L’importanza degli Aggiornamenti:
WordPress + Plugin + Theme
Ricapitolando
Gli aggiornamenti vanno
sempre fatti, verificando la
compatibilità dei Plugin e
dei Temi.
Prima di aggiornare
effettuare SEMPRE
Il BACKUP COMPLETO!
56. I Plugin per la Sicurezza
A cosa servono e perché installarli?
A prevenire attacchi che
potrebbero danneggiare il
nostro sito web.
Meglio se coadiuvati da un
pacchetto di sicurezza di
base sul nostro hosting.
57. I Plugin per la Sicurezza
Quali scegliere?
Esistono molti Plugin che
possono soddisfare le
esigenze del nostro sito.
Vediamo 3 esempi nelle
prossime slide.
58. I Plugin per la Sicurezza
Funzionalità del Plugin: Wordfence Security
Firewall
Login Security
Scansione dei file
Blocco attacco Hacking
Monitoraggio traffico e DNS
Fonte immagine wordpress.org/plugins/wordfence/
59. I Plugin per la Sicurezza
Funzionalità del Plugin: All In One WP Security & Firewall
Firewall Antispam
Login Security
Scansione e controllo file
Prevenzione Brute Force
Personalizzazione .htaccess
Fonte immagine wordpress.org/plugins/wordfence/
60. I Plugin per la Sicurezza
Funzionalità del Plugin: Security, Antivirus, Firewall-S.A.F
Protezione Brute force
Antivirus e Antispam
Scansione file e malware
Protezione attacchi al
backend
Identificazione di plugin e
temi vulnerabili
Fonte immagine wordpress.org/plugins/wordfence/
61. I Plugin per la Sicurezza
Ricapitolando
Grazie al costante
aggiornamento dei
«Security Plugin» di
WordPress…
… abbiamo solo l’imbarazzo
della scelta per la sicurezza
del nostro sito!
62. Esempi di configurazione
All in One WP Security & Firewall
Vediamo velocemente la
configurazione di uno dei
plugin citati.
Dalle funzionalità più
semplici a quelle più
complesse.
63. Esempi di configurazione
La Bacheca fornisce a colpo d’occhio la
situazione del livellodi sicurezza del
nostro sito.
Riepiloga:
• Le Informazioni di Sistema, del sito,
del Php info e dei Plugin Attivi
• Eventualiindirizzi IP bloccati
• File di Log del Plugin
Fonte immagine CMS WordPress
64. Esempi di configurazione
Le Impostazioniservono a:
• Eventualmentedisabilitarealcune
funzioni di sicurezza e le regole del
firewall
• Abilitarefunzionalità di debug
• Fare un backup dei file .htaccess e
wp-config.php
• Importare ed Esportare le
configurazionidel Plugin da un sito
WordPress all’altro.
Fonte immagine CMS WordPress
65. Esempi di configurazione
La sezione Account Utente fornisce:
• Informazioni sui nomi utente degli
amministratorie in caso di
presenza di un utente «Admin» lo
segnala
• Come vengono visualizzatii nomi
utente e se è il caso di modificarli
• Lo strumento di verifica della
sicurezza della password
Fonte immagine CMS WordPress
66. Esempi di configurazione
La sezione Login Utente consente di
bloccare l’accesso dopo un numero di
tentativiprestabilitoe di bloccare gli
utenti inesistenti.
Possiamo farci inviareuna notifica
email in caso di attacchi ripetuti.
Fonte immagine CMS WordPress
67. Esempi di configurazione
La sezione Registrazione Utenti
consente:
• Di attivarela registrazione manuale
degli utenti
• Impostare i Captcha nel modulo di
registrazione
Fonte immagine CMS WordPress
68. Esempi di configurazione
La sezione Sicurezza Database
consente:
• Di cambiare il prefisso delle tabelle
in caso fosse impostatocome
«wp_»
• Impostare i backup automaticidel
databasecon inviodi una notifica
email con file sql in allegato
Fonte immagine CMS WordPress
69. Esempi di configurazione
La sezione Sicurezza File di Sistema
consente:
• Fare delle «Azioni Raccomandate»
• Impostare correttamente i
permessi sul server
• Impedire la modifica dei file PHP
• Impedire l’accesso ai file di
installazione
Fonte immagine CMS WordPress
70. Esempi di configurazione
La sezione Gestione Blacklist
consente:
• Attivare una «lista nera» di indirizzi
IP e User Agent Bannati
Fonte immagine CMS WordPress
71. Esempi di configurazione
La sezione Firewallconsente di:
• Impostare regole firewall di base e
aggiuntive
• Impostare le regole di protezionedi
sicurezza del firewall6G (o 5G)
progettatie realizzati da Perishable
Press
• Bloccare i falsi Google Boot
• Prevenire l’hotlinkingdelle
immagini
• Personalizzare il file .htaccess
bloccandoad esempio i referral
dannosi
Fonte immagine CMS WordPress
72. Esempi di configurazione
La sezione Brute Force consente di:
• Rinominarela Pagina di Login
• Proteggere la pagina di login da
attacchi
• Inserire i Captcha nellaPagina di
Login
• Avere una «lista bianca» di indirizzi
IP a cui consentire l’accesso
• aggiungere un particolarecampo
nascosto «honeypot» visibile solo
ai robot e quindi individuareuna
praticadannosa sul sito
Fonte immagine CMS WordPress
73. Esempi di configurazione
La sezione Spam consente di:
• Attivare i captcha sul modulo dei
commenti
• Prevenire commenti Spam
• Monitoraregli IP Spam e bloccarli
Fonte immagine CMS WordPress
74. Esempi di configurazione
La sezione Scanner consente di:
• Rilevaremodifiche sui file, quindi di
monitoraresempre il sito in caso di
inserimento di stringhe dannose
nel codice
Fonte immagine CMS WordPress
75. WordPress Security
Conclusioni
Adesso che abbiamo le
nozioni e conosciamo le
procedure e i plugin che
possono aiutarci a
mantenere più sicuro il
nostro sito…
… dobbiamo metterle in
pratica e non ci sono più
scuse per «rimandare a
domani quello che può
essere messo in sicurezza
oggi»