3. @ffarnedi
“IO, non ho mai subito
un attacco…”
Non esserne così felice, perché quando ti succederà non
avrai sufficiente esperienza su come affrontare il problema.
3
4. @ffarnedi
Chi sono ?
Gestisco con la mia azienda più di 200 siti
(per lo più WordPress)
e mi occupo di hosting da 15 anni
4
5. @ffarnedi
Un po di dati
• WordPress è utilizzato dal 24% dei siti internet nel mondo* e
rappresenta il 59% dei CMS conosciuti.
• 76.500.000 siti (update 03/09/2014)**
• 73% dei siti WordPress risultavano vulnerabili***
• Dei 10 plugin più vulnerabili 5 sono premium (uno dei quali è un
plugin di sicurezza)
* Fonte W3Techs Nov 15 - http://w3techs.com/technologies/details/cm-wordpress/all/all
** BuiltWith cita 16.000.000 nel proprio DB http://trends.builtwith.com/cms/WordPress
*** Report Alexa 2013 http://www.wpwhitesecurity.com/wordpress-security-news-updates/statistics-70-percent-wordpress-
installations-vulnerable/
5
7. @ffarnedi
Cybercrime
“I margini di profitto del crimine informatico
posizionano alcuni hacker tra le più redditizie imprese
criminali, subito dopo il traffico di droga,
il traffico di esseri umani
e il commercio di armi illegali”
https://collabra.email/wp-content/uploads/2015/04/Rapporto-Clusit-2015-web.pdf
7
8. @ffarnedi
Prezzi CyberTraffico
• Un server compromesso viene noleggiato fino a 250€/m
• Siti ben indicizzati vengono venduti a 122€
• Rubare credenziali webmail: 120€
• Webcam “rubate” 12 euro per 500 host
fonte:
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-beyond-online-
gaming-cybercrime.pdf
8
10. @ffarnedi
Comuni Metodi di Attacco
• Brute Force Password
• Vulnerabilità del Server e dell’installazione WP
• Software Compromesso
• DDoS Attack (distributed denial of service
• you name it…
10
11. @ffarnedi
Come difendersi da: Brute Force Password
• Two factor Authenticator (Google Auth o Clef)
• Password sicure e complesse
• Limite numero di tentativi login (plugin)
• Black list IP
• Server Firewall
• No Admin user per Pubblicare i Post
• Non usare il proprio nome come user
• sposta login page (plugin)
• Nascondi WP version number (plugin)
11
12. @ffarnedi
Come difendersi da: Vulnerabilità server
• Hardening Server
• chmod directory
• htaccess (limita browsing directory & exec file)
• Disattiva File Edit da WP Admin console
• Update Server (php & co.)
• Update WP core
• Update plugin e theme
12
13. @ffarnedi
Recap
• Sicurezza Password
• Two Factor Authenticator
• Security Plugin
• Audit Periodica
• Backup
• Hardening Server
• No Admin user per Edit
• No Teme pirata
• Server Update
• Update WP e Plugin
13
16. @ffarnedi
Entriamo nel pratico
• Backup frequenti e offsite con retention 30gg
• Check sulle modifiche ai file
• Scan periodico dei file
• Check uptime del server/sito
• Filtro Antispam
17
23. @ffarnedi
Plugin Sicurezza
Plugin Free Premium Info link
si si funzionalità a confronto download
si si funzionalità a confronto download
si servizio scan pro download
si download
24
28. @ffarnedi
CheckList
Non usare “admin” come nome utente
Password sicure e aggiornate periodicamente
Aggiungi Two-step autentication
Limita numero login
Accesso Admin solo a pochi utenti
Backup sito
31
29. @ffarnedi
CheckList
Usa un security scan
Disabilita l’editor incorporato di Temi e Plugin
Elimina php error log
Proteggi file con .htaccess
Maschera il nome dell’autore dei Post (user-name)
Log delle modifiche ai file
Blocca pagina login
32