La sicurezza è un approccio globale, prima che tecnico, mentale.

2. Rendere sicuro
WordPress, la grande
bufala
La sicurezza è un approccio globale,
prima che tecnico, mentale.
WordPress meetup - Milano 2014
3 dicembre

3. Wolly
aka
Paolo Valenti
WordPress Italy

4. Wolly
aka
Paolo Valenti
paolovalenti.info
wpitaly.it
wolly66@gmail.com
skype:wolly66
twitter/wolly
facebook.com/wolly
tel: 3932948156 (for women only)

5. La sicurezza non esiste
L’unico sistema veramente sicuro è
spento, affogato in una bara di
cemento, chiuso in un caveau
sotteranneo, blindato e sorvegliato
da guardie armate – e anche in
quel caso continuo ad avere dei
dubbi - Prof. Eugene Spafford –
Purdue University

6. System error
Il vero bug
tra la sedia e la tastiera

7. Le password
123456
password
12345678
qwerty
abc123
7

8. Le password
123456789
111111
1234567
iloveyou
adobe123
8

9. Sei sveglio?
Buongiorno, sono Marco del
supporto tecnico.
Ciao Marco, dimmi.
Devi darmi il tuo username e
password che dobbiamo fare
degli aggiornamenti
username: pippo, password:
pluto

10. Post -it
Un’idea meravigliosa

11. Phishing - doppia
autenticazione
Dear Gmail customer
From now if you need more than 2 GB of space use this
invitation and upgrade your account to 100 GB of space also
you can register one free domain name via this invitation
your account upgrade will done after 24 hours
your invitation code is: http://gmailupgrades.com/Gmail-
Account-Upgrade/…/
Thank You
Gmail Support Department
11

12. Backup
il vostro lavoro non deve perdersi

13. Backup
Cos’è un backup?
La propria politica di backup
Backup del database
Backup dei file
13

14. Cos’è?
Il backup è la copia di tutto il
nostro lavoro.
Il backup ci permette di
ripristinare il nostro lavoro se
per qualsiasi motivo dovesse
perdersi
Il backup è la nostra ancora di
salvezza
14

15. Politica di backup
Backup giornaliero del database
Backup settimanale degli
attachments
Backup mensile
dell’installazione
Disseminazione dei backup nel
cloud
15

16. I dati dei vostri post e delle vostre pagine vengono salvati
in due posti distinti e separati:
I testi dei post, delle pagine, dei custom post type, i menù, le
impostazioni dei temi etc. vengono tutte salvate nel database
Le immagini, gli attachment vengono salvati sul server nella
directory uploads situata nella directory wp-content
16

17. Backup del database
phpMyAdmin è il software per
gestire i database e fare i
backup.
17

18. Backup dei file
filezilla è un software open
source, multipiattaforma per
fare il backup dei file via ftp
18

19. BackWPup
http://wordpress.org/plugins/
backwpup/
Un plugin semplice ed efficace
backup in cloud su dropbox&c.
backup database
backup dei file
19

20. Import/export
importare e esportare i nostri contenuti

21. Import
In backend, menù strumenti,
troviamo la funzione importa che ci
permette di importare i contenuti
da molte piattaforme e
naturalmente ci permette di
importare da ogni installazione
WordPress sia wodpress.com che
wordpress.org
21

22. Export
In backend, menù strumenti,
troviamo la funzione esporta che ci
permette di esportare tutti i nostri
contenuti in un formato XML che
potremo poi importare in ogni
installazione WordPress sia
wodpress.com che wordpress.org
22

23. Un po’ di sicurezza
il minimo indispensabile

24. regole base
Usare sempre la versione più recente di WordPress
Backup del database giornaliero
Backup dei file
Usare password forti We4_78Horz
24

25. regole base
Aggiornare i plugin
Eliminare i plugin inutilizzati
Scaricare temi solo da siti sicuri e conosciuti
25

26. regole base installazione
non usare wp_ come prefisso delle tabelle, usare la
tecnica del gatto: 383j8w_
l’utente amministratore NON deve essere admin
Chiudere la registrazione al sito
se le registrazioni sono aperte, il livello di registrazione
deve essere il più basso: sottoscrittore.
26

27. ricordati sempre che:
Nessun Plugin è più importante della sicurezza del tuo
blog
Nessun Tema è più importante della sicurezza del tuo
blog
Non c’è nessun motivo valido per non aggiornare il tuo
blog prontamente
27

28. ricordati sempre che:
Se il tuo blog è compromesso potresti creare danni
anche agli altri ospiti del tuo hosting condiviso.
Backup, backup e ancora backup.
Se non hai tempo o voglia di seguire la parte tecnica del
tuo blog c’è sempre WordPress.com e non è un ripiego e
i tuoi contenuti non vengono sminuiti.
28

29. Si, lo so
In internet si trovano “tons of posts” con soluzioni
magiche tipo quello di un tizio che mi ha chiesto un
parere e gli ho risposto: hai scritto una marea di cagate,
le cancellerei. Lui ha replicato: io non sono un esperto di
sicurezza, le ho trovate su internet e mi sembra giusto
pubblicarle!
Game, set, match.
29

30. I ruoli
Web designer: cura la grafica
Developer: installa, scrive codice sicuro, aggiorna
Sys admin: si occupa della configurazione della
piattaforma hardware e si occupa di gestire la sicurezza
globale.
30

31. Scelta dei plugin
Solo da autori noti e riconosciuti
Non basarsi sul numero dei download, il fatto che sia
stato scaricato un milione di volte NON significa che un
milione di persone lo hanno controllato, mail poet ne è
un esempio, timbthumb è un altro esempio
i plugin sul repository di wordpress.org NON sono
verificati
31

32. Plugin utili
estendere le capacità di WordPress

33. Wordfence
itheme security
33

34. “La sicurezza non esiste, non
sentitevi mai sicuri”.
–wolly

35. (in) Sicurezza
piattaforma tecnologica
addestramento utenti
software applicativo

36. AIUTO, MI HANNO “ACHERATO”
COSA FACCIO ORA?

37. mi hanno “acherato” tutto il
server
Mi è successo l’anno scorso
file di backup ricevuto da persona affidabile di grande
società
tre rootkit e malware assortiti

38. Come ho risolto?
Indagine
Antivirus
Backup
Nessuno è più affidabile

39. Grazie a tutti
Domande?