Slide del mio intervento al Webreevolution 2013 di Roma incentrato su come aumentare la sicurezza di Wordpress, partendo dalle basi de file di configurazione fino ai plugins utili per la gestione dei punti critici.
1. Diffuso, Flessibile, Versatile, Sicuro?
Come rendere Wordpress più sicuro con alcuni accorgimenti prevenendo
attacchi e intrusioni in rete correggendo oltre 50 punti critici.
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
«Una vigile e provvida paura è la madre della sicurezza»
Edmund Burke
2. La grande diffusione di Wordpress tra i CMS
Questa grande diffusione ne fa purtroppo anche il principale obbiettivo degli attacchi in
rete.
Dopo ogni nuova release di Wordpress, gli sviluppatori comunicano pubblicamente
quali falle di sicurezza sono state patchate, e queste informazioni vengono poi usate
dagli hackers per attaccare i siti che non sono ancora stati aggiornati con l’ultima
versione.
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
3. A quali problemi vado incontro se non mi proteggo?
• Link SQL Injection: gli spammers, nella migliore delle ipotesi, possono riempire il nostro sito di
link* verso i loro siti di spam, spesso invisibili ma trovati e indicizzati da Google facendoci
perdere rank e traffico fino ad essere penalizzati, il lungo lavoro che abbiamo fatto sui nostri
siti può quindi essere vanificato in breve tempo. Può accadere anche di vedere il nostro
database interamente cancellato e se non abbiamo una copia di backup sono dolori.
Cosa posso fare di concreto per proteggere il mio Wordpress?
*I link spam sono quasi sempre diretti verso siti di Gambling, Viagra ed altri medicamenti e siti a
carattere pornografico.
I consigli che da sempre sentiamo su come proteggersi sono quelli di aggiornare sempre all’ultima
versione disponibile e fare regolari copie di backup del nostro database, ma questo è sufficiente? NO!
NON è sufficiente perché esistono molti punti critici in Wordpress che consentono agli spammers di
conoscere quasi tutto del nostro sistema, ricavare informazioni e quindi poi accedere, sfruttandone le
vulnerabilità e fare ciò che vogliono.
Bisogna quindi fare di tutto per rendere il nostro Wordpress il più ermetico possibile, vediamo come!
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
4. Oggi parleremo di questi argomenti:
1) Impostazioni base durante l’installazione di Wordpress
2) Come individuare e controllare i punti critici
3) Dimostrazione pratica dei plug-in utili
4) Altre verifiche sui permessi delle cartelle essenziali di Wordpress
5) Uso del firewall, alerts e protezione
6) Uso intelligente dei widgets con Widget logic
7) Tenere sotto controllo alcuni parametri dei nostri contenuti (SEO)
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
5. 1) Partiamo dalle basi, il file config.php
solo un promemoria senza voler essere ripetitivo ;-)
• Salatura dei cookies, generatore qui: https://api.wordpress.org/secret-key/1.1/salt/
• Prefisso delle tabelle del database
Standard= $table_prefix = ‘wp_';
Modificato= $table_prefix = 'deN6h_';
Sbagliato= define('DB_PASSWORD', ‘miosito');
• Password del database
Corretto= define('DB_PASSWORD', 'wPewb9G6');
• Creiamo uno user che non sia il solito ‘admin’ perché se non lo cambiamo, lo spammer
conoscerà già la metà del nostro login.
• Cambiamo la directory per gli upload
Standard= wp-content/uploads
Corretto a= wp-content/custom-upload-directory
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
6. Attenzione anche a:
• Consiglio vivamente di stare attenti nell’uso di temi gratuiti perché spesso contengono link e
codici nascosti, quindi meglio spendere 30/40 dollari per un buon tema a pagamento che
rischiare di avere il sito pieno di schifezze.
• Disattivate ed eliminate i plug-in e i temi che non usate o che non sono realmente essenziali
perché sono sempre possibili punti di intrusione.
• Esistono alcuni plug-in che possono darci una mano nell’individuazione e nella correzione dei
punti critici, con pochi click possiamo rendere il nostro wordpress molto più sicuro.
Vediamone alcuni!
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
7. 2) Individuare e correggere i punti critici
• http://wordpress.org/plugins/better-wp-security/
Utilissimo plugin che ci consente di individuare facilmente i punti critici del nostro Wordpress e di
correggerli subito.
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
8. 3)Controllare e correggere i permessi delle cartelle
• http://wordpress.org/plugins/wp-security-scan/
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
9. Installare un firewall
Consiglio l’installazione del Wordpress Firewall 2*:
http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip
Una volta installato vi invierà degli alerts sulla vostra e-mail, indicandovi l’IP dell’attaccante e se lo
vorrete potrete metterlo subito in blacklist.
*( Lo sviluppo di questo plugin risulta interrotto, ma risulta ancora funzionante sulle ultime versioni di Wordpress, in ogni caso ne
esistono anche altri)
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
10. Limitare le duplicazioni interne con Widget Logic
http://downloads.wordpress.org/plugin/widget-logic.0.56.zip
http://codex.wordpress.org/Conditional_Tagshttp://wordpress.org/plugins/reveal-ids-for-wp-admin-25/ +
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
11. Controllare ottimizzazioni on page con Seo Pressor
www.seopressor.com
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
12. Riepilogo di alcuni plug-in utili per semplificarsi la vita
• http://wordpress.org/plugins/better-wp-security/ ottimo plug-in che individua e corregge impostazioni e
permessi in automatico e ci consente di schedulare regolari backup del database.
• http://wordpress.org/plugins/wordpress-firewall-2/ firewall che protegge dagli attacchi e tentativi di
intrusione più comuni.
• http://wordpress.org/plugins/wp-security-scan/ plug-in per verificare la correttezza dei permessi delle
principali cartelle di Wordpress e altro.
• http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip Plug-in che protegge dalla maggior
parte degli attacchi in rete verso il nostro Wordpress, anche se non più aggiornato, appare ancora
funzionante sulle ultime release di Wordpress.
• http://www.blockcountryip.com/ Sito dove si possono avere le liste degli ip secondo la nazione che
intendiamo limitare o bloccare del tutto, normalmente si bloccano le nazioni da dove provengono più
attacchi ( naturalmente se non ci interessa ricevere traffico da quella zona )
• http://downloads.wordpress.org/plugin/widget-logic.0.56.zip Utile plugin che consente una intelligente
gestione dei widget, consentendo di destinare menu ed elementi solo a specifiche pagine o post del sito.
• http://codex.wordpress.org/Conditional_Tags Pagina di Wordpress dove trovare i Conditional tags da
usare con widget logic.
• http://ottodestruct.com/decoder.php pagina che consente di effettuare il reverse decoding di files
criptati, serve appunto per vedere in chiaro il codice criptato se abbiamo sospetto sia malware.
• http://seopressor.com/ utile plug-in che serve a monitorare le ottimizzazioni e principali % on page.
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution
13. Grazie a tutti!
I miei recapiti
Gualtiero Santucci
E-mail: info@posizionamento-nei-motori.com – info@ranklab.it
Twitter: www.twitter.com/ranklabstudio
Facebook: https://www.facebook.com/pages/RankLab-Studio-SEO-Web-Agency/236003766413408
Linkedin: it.linkedin.com/pub/gualtiero-santucci/1/a73/b50
Gualtiero Santucci - @ranklabstudio - info@ranklab.it
#webreevolution