Faccio un veloce riassunto sui problemi di sicurezza del proprio sito WordPress e alcuni rimedi utili. https://www.farnedi.it/wordpress-security-101/

1. @ffarnedi
Security WP 101
Una veloce panoramica sui rischi di sicurezza
di un sito Wordpress e come difendersi
1

2. @ffarnedi
Domanda
• Quanti di voi hanno subito un attacco?
• Quanti siti WP gestisci attualmente?
2

3. @ffarnedi
“IO, non ho mai subito
un attacco…”
Non esserne così felice, perché quando ti succederà non
avrai sufficiente esperienza su come affrontare il problema.
3

4. @ffarnedi
Chi sono ?
Gestisco con la mia azienda più di 200 siti
(per lo più WordPress)
e mi occupo di hosting da 15 anni
4

5. @ffarnedi
Un po di dati
• WordPress è utilizzato dal 24% dei siti internet nel mondo* e
rappresenta il 59% dei CMS conosciuti.
• 76.500.000 siti (update 03/09/2014)**
• 73% dei siti WordPress risultavano vulnerabili***
• Dei 10 plugin più vulnerabili 5 sono premium (uno dei quali è un
plugin di sicurezza)
* Fonte W3Techs Nov 15 - http://w3techs.com/technologies/details/cm-wordpress/all/all
** BuiltWith cita 16.000.000 nel proprio DB http://trends.builtwith.com/cms/WordPress
*** Report Alexa 2013 http://www.wpwhitesecurity.com/wordpress-security-news-updates/statistics-70-percent-wordpress-
installations-vulnerable/
5

6. @ffarnedi
“Ma perché qualcuno
dovrebbe attaccare
proprio il mio sito?”
6

7. @ffarnedi
Cybercrime
“I margini di profitto del crimine informatico
posizionano alcuni hacker tra le più redditizie imprese
criminali, subito dopo il traffico di droga,
il traffico di esseri umani
e il commercio di armi illegali”
https://collabra.email/wp-content/uploads/2015/04/Rapporto-Clusit-2015-web.pdf
7

8. @ffarnedi
Prezzi CyberTraffico
• Un server compromesso viene noleggiato fino a 250€/m
• Siti ben indicizzati vengono venduti a 122€
• Rubare credenziali webmail: 120€
• Webcam “rubate” 12 euro per 500 host
fonte:
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-beyond-online-
gaming-cybercrime.pdf
8

9. @ffarnedi ho la vostra attenzione?9

10. @ffarnedi
Comuni Metodi di Attacco
• Brute Force Password
• Vulnerabilità del Server e dell’installazione WP
• Software Compromesso
• DDoS Attack (distributed denial of service
• you name it…
10

11. @ffarnedi
Come difendersi da: Brute Force Password
• Two factor Authenticator (Google Auth o Clef)
• Password sicure e complesse
• Limite numero di tentativi login (plugin)
• Black list IP
• Server Firewall
• No Admin user per Pubblicare i Post
• Non usare il proprio nome come user
• sposta login page (plugin)
• Nascondi WP version number (plugin)
11

12. @ffarnedi
Come difendersi da: Vulnerabilità server
• Hardening Server
• chmod directory
• htaccess (limita browsing directory & exec file)
• Disattiva File Edit da WP Admin console
• Update Server (php & co.)
• Update WP core
• Update plugin e theme
12

13. @ffarnedi
Recap
• Sicurezza Password
• Two Factor Authenticator
• Security Plugin
• Audit Periodica
• Backup
• Hardening Server
• No Admin user per Edit
• No Teme pirata
• Server Update
• Update WP e Plugin
13

14. @ffarnedi
Ma si può “perire” di
troppa sicurezza?
14

15. @ffarnedi
E’ possibile essere a prova
di attacco?
NO
15

16. @ffarnedi
Entriamo nel pratico
• Backup frequenti e offsite con retention 30gg
• Check sulle modifiche ai file
• Scan periodico dei file
• Check uptime del server/sito
• Filtro Antispam
17

17. @ffarnedi
Soluzioni Scan
• Google Webmaster Tools (Google Search console)
• Sucuri (antivirus) o WAF
• CodeGuard (backup)
• WP Security Audit
• Plugin Security (Pro)
18

18. @ffarnedi
Password Sicure
19

19. @ffarnedi
WAF
20

20. @ffarnedi
Check Uptime
• Jetpack by WordPress.com
• ManageWP
• Pingdom
• SensorPress plugin
• Uptime Monitor plugin
21

21. @ffarnedi
Il sito è stato infettato…
Ora?
1. Restore da Backup
2. oppure Malware CleanUp (attenti al DB)
3. Update e Sicurezza
22

22. @ffarnedi
Plugin Sicurezza
• Wordfence/pro
• Sucuri
• Jetpack
• iThemes Security/pro
23

23. @ffarnedi
Plugin Sicurezza
Plugin Free Premium Info link
si si funzionalità a confronto download
si si funzionalità a confronto download
si servizio scan pro download
si download
24

24. @ffarnedi
Un sito hardened può
essere “incompatibile” con
certi plugin o Temi
25

25. @ffarnedi
Hosting a confronto
Hosting
Antivirus/sc
an
Plugin
Security
Backup Firewall AutoUpdate
yes yes yes yes yes
yes yes yes
yes yes yes yes
Il Tuo ? ? ? ? ?
26

26. @ffarnedi
201 preview
log.sucuri.net/2015/10/install-wpscan-wordpress-vulnerability-sca
28

27. @ffarnedi
CheckList
WordPress Aggiornato
Plugin e Tema Aggiornato
Cancella Plugin e Temi non utilizzati
Scarica plugin e Temi da fonti sicure
Cambia i permessi delle directory (777)
30

28. @ffarnedi
CheckList
Non usare “admin” come nome utente
Password sicure e aggiornate periodicamente
Aggiungi Two-step autentication
Limita numero login
Accesso Admin solo a pochi utenti
Backup sito
31

29. @ffarnedi
CheckList
Usa un security scan
Disabilita l’editor incorporato di Temi e Plugin
Elimina php error log
Proteggi file con .htaccess
Maschera il nome dell’autore dei Post (user-name)
Log delle modifiche ai file
Blocca pagina login
32

30. @ffarnedi
Approfondimenti
• Link a questo articolo/slide/link/video
https://www.farnedi.it/wordpress-security-101/
33