Más contenido relacionado
La sicurezza di WordPress per non sparire da Google
- 2. .edu ???
.edu ???
©2010 Sean Carlos 2/19
- 6. N
uo
vo
!
Utilizza una versione recente
di WordPress
©2010 Sean Carlos 6/19
- 19. Contattateci
● EMail
● Telefono
02 69 000 333
● Web
www.antezeta.it/blog
seancarlos
@sean_it (ITA) @seancarlos (ENG)
!
zie
ra
©2010 Sean Carlos 19/19
G
- 20.
La sicurezza di WordPress
per non sparire da
.
Sean Carlos
WordCamp Milano
22 maggio 2010
©2010 Sean Carlos 1/19
Le slide sono derivate da un articolo sulla
sicurezza per un blog WordPress.
- 21.
.edu ???
.edu ???
©2010 Sean Carlos 2/19
- 22.
Lo Spam:
Il Prosciutto Inscatolato
©2010 Sean Carlos 3/19
- 23.
Lo spam:
Lo sketch dei Monty Python
©2010 Sean Carlos 4/19
- 24.
Il problema
Il Contesto
©2010 Sean Carlos 5/19
- 25.
N
uo
vo
!
Utilizza una versione recente
di WordPress
©2010 Sean Carlos 6/19
Quasi tutti i software contengono errori o bug
che vengono corretti col passare del tempo. In
generale, mantenere la tua installazione
WordPress aggiornata è un ottimo modo per
evitare problemi conosciuti. È da notare che la
versione più recente, in particolare nel caso di
aggiornamenti importanti, può causare più
problemi che risolverli. Quindi, tieni WordPress
aggiornato, ma lascia che altri lo facciano
prima! Notizie sui rilasci ufficiali di WordPress
sono fornite dal feed nel tuo cruscotto
WordPress; è inoltre possibile aggiungere
questo feed dagli sviluppatori WordPress al tuo
lettore di feed RSS.
- 26.
Conosci i tuoi plugin (estensioni)
Conosci i tuoi plugin (estensioni)
©2010 Sean Carlos 7/19
Plugin sviluppati da terze parti consentono un
accesso significativo al tuo blog, il che rende
indispensabile che tu ti fidi dell’autore di
qualsiasi plugin installato – o aggiornato. Alcuni
plugin sono indicati di seguito – non posso
garantire per l’affidabilità delle attuali versioni:
puoi utilizzarli a tuo rischio
Image: Holger Zscheyge CC Attribution 2.0
Generic
http://www.flickr.com/photos/zscheyge/49012
397/
- 27.
admin
Cambia l'account dell'amministratore
dall'impostazione predefinita “admin”
©2010 Sean Carlos 8/19
Ogni hacker sa che WordPress ha un utente
admin che gode dei privilegi
dell’amministrazione come fosse un dio.
Rimuovi l’utente admin per rallentare gli
hacker. Crea un utente WordPress con i
privilegi di amministratore utilizzando
l’interfaccia di amministrazione. Esci da
WordPress ed accedi nuovamente come
nuovo utente. Cancella l’utente admin. Il
nuovo utente amministratore dovrebbe essere
diverso da quello che normalmente scrive
post, cioè non visibile nei post.
- 28.
Proteggi la tua interfaccia di
amministrazione WordPress con una
password a livello del server
©2010 Sean Carlos 9/19
Il nostro obiettivo è quello di aggiungere un
ulteriore livello di sicurezza all’amministrazione
WordPress. Gli utenti su Apache dovrebbero
fare riferimento alla
documentazione sull’autenticazione o
prendere in considerazione una plugin
WordPress. Gli utenti IIS potrebbero trovare
queste istruzioni utili.
- 29.
WP Prefix Changer
Rinomina le tabelle del tuo
database WordPress
©2010 Sean Carlos 10/19
Gli attacchi da parte degli Hacker che sfruttano
il tuo database generalmente richiedono la
conoscenza dei nomi delle tabelle nel
database. WordPress consente nomi alternativi
per le tabelle del database. Ci sono diversi
plugin per definire il prefisso delle tabelle che
faranno questo per te, oppure è possibile
seguire le istruzioni manuali. Nota che si
possono avere problemi con le estensioni
(plugin) scritti male se non si riconosce il valore
del prefisso delle tabelle.
Foto: terren in Virginia; CC Attribution 2.0
Generic
http://www.flickr.com/photos/8136496@N05/180
6968708/
- 30.
/wpcontent/plugins
Nascondi agli occhi indiscreti la tua
directory di plugin
Nascondi agli occhi indiscreti la
tua directory di plugin
©2010 Sean Carlos 11/19
In molte installazioni WordPress è possibile
visualizzare un elenco dei plugin installati,
navigando alla directory /wpcontent/plugins/.
Tale trasparenza non è consigliata, visto che
vulnerabilità note nei plugin possono essere
facilmente sfruttate. Aggiungi un file vuoto
come indice, tipo index.html, nella directory. È
inoltre possibile proteggerlo con un file
.htaccess nel caso tu stia impiegando Apache
come server.
Foto practicalowl CC Attribution
NonCommercialShareAlike 2.0 Generic
http://www.flickr.com/photos/practicalowl/31
4989744/
- 31.
2.9
Rimuovi le informazioni sulla versione
di WordPress e di eventuali plugin
©2010 Sean Carlos 12/19
Dichiarando al mondo la versione WordPress
che giri, semplifichi notevolmente il lavoro ad
un hacker. In un post Peter Westwood ha
documentato come fare per sopprimere
informazioni sulla versione di WordPress nei
feed e nel blog. Ho confezionato il suo codice
in una maniera molto rudimentale come un
plugin WordPress per nascondere la versione di
WordPress. Nei theme più vecchi sarà ancora
necessario rimuovere una riga simile a questa:
<meta name="generator" content="WordPress
<?php bloginfo('version'); ?>" /> <! leave this
for stats >
- 32.
La segnalazione di errori php
La segnalazione di errori php
©2010 Sean Carlos 13/19
“Se qualcosa prende la forma di una pera”
come dicono gli inglesi (cioè, va storto),
WordPress ed i suoi plugin possono far
visualizzare codici di errori php. In un ambiente
di produzione si dovrebbero sopprimere gli
errori. Consulta la documentazione per la
segnalazione di errori php per una discussione
più approfondita.
Foto: rubenerd CC AttributionNonCommercial
2.0 Generic
http://www.flickr.com/photos/rubenerd/1740916
665/sizes/o/
- 33.
WP Security Scan
Scansione sicurezza WordPress
Scansione sicurezza WordPress
©2010 Sean Carlos 14/19
Il plugin WP Security Scan fa un controllo del tuo
blog in merito alla sicurezza e tenta di attuare
molti dei suggerimenti indicati in questo
articolo. Blogsecurity.net offre un’alternativa
plugin di scansione.
Foto: utnapistim CC AttributionNonCommercial
2.0 Generic
http://www.flickr.com/photos/utnapistim/2002
24886/
- 34.
Il tuo blog è sparito da Google?
©2010 Sean Carlos 15/19
Se Google ha penalizzato il tuo sito, il problema
principale consiste nel sistemare il sito.
Identificare il problema che ha turbato Google
ed assicurarsi che venga rimosso. Evita la
tentazione di aggiornare alla cieca i tuoi
plugin, WordPress, o il tema. Il problema può
persistere!
Se il tuo blog si comporta bene, puoi prendere in
considerazione l’iscrizione agli strumenti
Google per i webmaster e fare una richiesta di
reinclusione – una richiesta concisa risulta
vincente: cosa è successo e come è stato
sistemato. Se il tuo problema rientra in uno di
quelli comunemente diffusi, se non dipende
da te ed il tuo blog ha avuto finora un buon
rapporto con Google, sono disposto a
scommettere che Google ripristinerà in
- 35.
http://www.amazon.co.uk/HackingExposedSixthSecuritySolutions/dp/0071613749/antezeta21
©2010 Sean Carlos 16/19
- 36.
L'articolo e la presentazione di Wolly
http://www.slideshare.net/wolly/wordpresssicuro
©2010 Sean Carlos 17/19
- 37.
Domande
& risposte
!
zie
ra
©2010 Sean Carlos 18/19
G
Foto: laurakgibbs CC Attribution 2.0 Generic
http://www.flickr.com/photos/38299630@N05/
3635356091/
- 38.
Contattateci
● EMail
● Telefono
02 69 000 333
● Web
www.antezeta.it/blog
seancarlos
@sean_it (ITA) @seancarlos (ENG)
!
ie
z
ra
©2010 Sean Carlos 19/19
G
Immagine: CC AttributionNo Derivative Works
2.0 Generic 20100405
http://www.flickr.com/photos/11806855@N02/
2523960245