2. Rendere sicuro
WordPress, la grande
bufala
La sicurezza è un approccio globale,
prima che tecnico, mentale.
WordPress meetup - Milano 2014
3 dicembre
4. Wolly
aka
Paolo Valenti
paolovalenti.info
wpitaly.it
wolly66@gmail.com
skype:wolly66
twitter/wolly
facebook.com/wolly
tel: 3932948156 (for women only)
5. La sicurezza non esiste
L’unico sistema veramente sicuro è
spento, affogato in una bara di
cemento, chiuso in un caveau
sotteranneo, blindato e sorvegliato
da guardie armate – e anche in
quel caso continuo ad avere dei
dubbi - Prof. Eugene Spafford –
Purdue University
9. Sei sveglio?
Buongiorno, sono Marco del
supporto tecnico.
Ciao Marco, dimmi.
Devi darmi il tuo username e
password che dobbiamo fare
degli aggiornamenti
username: pippo, password:
pluto
11. Phishing - doppia
autenticazione
Dear Gmail customer
From now if you need more than 2 GB of space use this
invitation and upgrade your account to 100 GB of space also
you can register one free domain name via this invitation
your account upgrade will done after 24 hours
your invitation code is: http://gmailupgrades.com/Gmail-
Account-Upgrade/…/
Thank You
Gmail Support Department
11
13. Backup
Cos’è un backup?
La propria politica di backup
Backup del database
Backup dei file
13
14. Cos’è?
Il backup è la copia di tutto il
nostro lavoro.
Il backup ci permette di
ripristinare il nostro lavoro se
per qualsiasi motivo dovesse
perdersi
Il backup è la nostra ancora di
salvezza
14
15. Politica di backup
Backup giornaliero del database
Backup settimanale degli
attachments
Backup mensile
dell’installazione
Disseminazione dei backup nel
cloud
15
16. I dati dei vostri post e delle vostre pagine vengono salvati
in due posti distinti e separati:
I testi dei post, delle pagine, dei custom post type, i menù, le
impostazioni dei temi etc. vengono tutte salvate nel database
Le immagini, gli attachment vengono salvati sul server nella
directory uploads situata nella directory wp-content
16
17. Backup del database
phpMyAdmin è il software per
gestire i database e fare i
backup.
17
18. Backup dei file
filezilla è un software open
source, multipiattaforma per
fare il backup dei file via ftp
18
21. Import
In backend, menù strumenti,
troviamo la funzione importa che ci
permette di importare i contenuti
da molte piattaforme e
naturalmente ci permette di
importare da ogni installazione
WordPress sia wodpress.com che
wordpress.org
21
22. Export
In backend, menù strumenti,
troviamo la funzione esporta che ci
permette di esportare tutti i nostri
contenuti in un formato XML che
potremo poi importare in ogni
installazione WordPress sia
wodpress.com che wordpress.org
22
24. regole base
Usare sempre la versione più recente di WordPress
Backup del database giornaliero
Backup dei file
Usare password forti We4_78Horz
24
25. regole base
Aggiornare i plugin
Eliminare i plugin inutilizzati
Scaricare temi solo da siti sicuri e conosciuti
25
26. regole base installazione
non usare wp_ come prefisso delle tabelle, usare la
tecnica del gatto: 383j8w_
l’utente amministratore NON deve essere admin
Chiudere la registrazione al sito
se le registrazioni sono aperte, il livello di registrazione
deve essere il più basso: sottoscrittore.
26
27. ricordati sempre che:
Nessun Plugin è più importante della sicurezza del tuo
blog
Nessun Tema è più importante della sicurezza del tuo
blog
Non c’è nessun motivo valido per non aggiornare il tuo
blog prontamente
27
28. ricordati sempre che:
Se il tuo blog è compromesso potresti creare danni
anche agli altri ospiti del tuo hosting condiviso.
Backup, backup e ancora backup.
Se non hai tempo o voglia di seguire la parte tecnica del
tuo blog c’è sempre WordPress.com e non è un ripiego e
i tuoi contenuti non vengono sminuiti.
28
29. Si, lo so
In internet si trovano “tons of posts” con soluzioni
magiche tipo quello di un tizio che mi ha chiesto un
parere e gli ho risposto: hai scritto una marea di cagate,
le cancellerei. Lui ha replicato: io non sono un esperto di
sicurezza, le ho trovate su internet e mi sembra giusto
pubblicarle!
Game, set, match.
29
30. I ruoli
Web designer: cura la grafica
Developer: installa, scrive codice sicuro, aggiorna
Sys admin: si occupa della configurazione della
piattaforma hardware e si occupa di gestire la sicurezza
globale.
30
31. Scelta dei plugin
Solo da autori noti e riconosciuti
Non basarsi sul numero dei download, il fatto che sia
stato scaricato un milione di volte NON significa che un
milione di persone lo hanno controllato, mail poet ne è
un esempio, timbthumb è un altro esempio
i plugin sul repository di wordpress.org NON sono
verificati
31
37. mi hanno “acherato” tutto il
server
Mi è successo l’anno scorso
file di backup ricevuto da persona affidabile di grande
società
tre rootkit e malware assortiti
38. Come ho risolto?
Indagine
Antivirus
Backup
Nessuno è più affidabile