SlideShare une entreprise Scribd logo

Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress

G
guaio2013

Slide del mio intervento al Webreevolution 2013 di Roma incentrato su come aumentare la sicurezza di Wordpress, partendo dalle basi de file di configurazione fino ai plugins utili per la gestione dei punti critici.

Business
1  sur  13
Télécharger pour lire hors ligne
Diffuso, Flessibile, Versatile, Sicuro? Come rendere Wordpress più sicuro con alcuni accorgimenti prevenendo attacchi e intrusioni in rete correggendo oltre 50 punti critici. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution «Una vigile e provvida paura è la madre della sicurezza» Edmund Burke
La grande diffusione di Wordpress tra i CMS Questa grande diffusione ne fa purtroppo anche il principale obbiettivo degli attacchi in rete. Dopo ogni nuova release di Wordpress, gli sviluppatori comunicano pubblicamente quali falle di sicurezza sono state patchate, e queste informazioni vengono poi usate dagli hackers per attaccare i siti che non sono ancora stati aggiornati con l’ultima versione. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
A quali problemi vado incontro se non mi proteggo? • Link SQL Injection: gli spammers, nella migliore delle ipotesi, possono riempire il nostro sito di link* verso i loro siti di spam, spesso invisibili ma trovati e indicizzati da Google facendoci perdere rank e traffico fino ad essere penalizzati, il lungo lavoro che abbiamo fatto sui nostri siti può quindi essere vanificato in breve tempo. Può accadere anche di vedere il nostro database interamente cancellato e se non abbiamo una copia di backup sono dolori. Cosa posso fare di concreto per proteggere il mio Wordpress? *I link spam sono quasi sempre diretti verso siti di Gambling, Viagra ed altri medicamenti e siti a carattere pornografico. I consigli che da sempre sentiamo su come proteggersi sono quelli di aggiornare sempre all’ultima versione disponibile e fare regolari copie di backup del nostro database, ma questo è sufficiente? NO! NON è sufficiente perché esistono molti punti critici in Wordpress che consentono agli spammers di conoscere quasi tutto del nostro sistema, ricavare informazioni e quindi poi accedere, sfruttandone le vulnerabilità e fare ciò che vogliono. Bisogna quindi fare di tutto per rendere il nostro Wordpress il più ermetico possibile, vediamo come! Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
Oggi parleremo di questi argomenti: 1) Impostazioni base durante l’installazione di Wordpress 2) Come individuare e controllare i punti critici 3) Dimostrazione pratica dei plug-in utili 4) Altre verifiche sui permessi delle cartelle essenziali di Wordpress 5) Uso del firewall, alerts e protezione 6) Uso intelligente dei widgets con Widget logic 7) Tenere sotto controllo alcuni parametri dei nostri contenuti (SEO) Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
1) Partiamo dalle basi, il file config.php solo un promemoria senza voler essere ripetitivo ;-) • Salatura dei cookies, generatore qui: https://api.wordpress.org/secret-key/1.1/salt/ • Prefisso delle tabelle del database Standard= $table_prefix = ‘wp_'; Modificato= $table_prefix = 'deN6h_'; Sbagliato= define('DB_PASSWORD', ‘miosito'); • Password del database Corretto= define('DB_PASSWORD', 'wPewb9G6'); • Creiamo uno user che non sia il solito ‘admin’ perché se non lo cambiamo, lo spammer conoscerà già la metà del nostro login. • Cambiamo la directory per gli upload Standard= wp-content/uploads Corretto a= wp-content/custom-upload-directory Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
Attenzione anche a: • Consiglio vivamente di stare attenti nell’uso di temi gratuiti perché spesso contengono link e codici nascosti, quindi meglio spendere 30/40 dollari per un buon tema a pagamento che rischiare di avere il sito pieno di schifezze. • Disattivate ed eliminate i plug-in e i temi che non usate o che non sono realmente essenziali perché sono sempre possibili punti di intrusione. • Esistono alcuni plug-in che possono darci una mano nell’individuazione e nella correzione dei punti critici, con pochi click possiamo rendere il nostro wordpress molto più sicuro. Vediamone alcuni! Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
2) Individuare e correggere i punti critici • http://wordpress.org/plugins/better-wp-security/ Utilissimo plugin che ci consente di individuare facilmente i punti critici del nostro Wordpress e di correggerli subito. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
3)Controllare e correggere i permessi delle cartelle • http://wordpress.org/plugins/wp-security-scan/ Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
Installare un firewall Consiglio l’installazione del Wordpress Firewall 2*: http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip Una volta installato vi invierà degli alerts sulla vostra e-mail, indicandovi l’IP dell’attaccante e se lo vorrete potrete metterlo subito in blacklist. *( Lo sviluppo di questo plugin risulta interrotto, ma risulta ancora funzionante sulle ultime versioni di Wordpress, in ogni caso ne esistono anche altri) Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
Limitare le duplicazioni interne con Widget Logic http://downloads.wordpress.org/plugin/widget-logic.0.56.zip http://codex.wordpress.org/Conditional_Tagshttp://wordpress.org/plugins/reveal-ids-for-wp-admin-25/ + Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
Controllare ottimizzazioni on page con Seo Pressor www.seopressor.com Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
Riepilogo di alcuni plug-in utili per semplificarsi la vita • http://wordpress.org/plugins/better-wp-security/ ottimo plug-in che individua e corregge impostazioni e permessi in automatico e ci consente di schedulare regolari backup del database. • http://wordpress.org/plugins/wordpress-firewall-2/ firewall che protegge dagli attacchi e tentativi di intrusione più comuni. • http://wordpress.org/plugins/wp-security-scan/ plug-in per verificare la correttezza dei permessi delle principali cartelle di Wordpress e altro. • http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip Plug-in che protegge dalla maggior parte degli attacchi in rete verso il nostro Wordpress, anche se non più aggiornato, appare ancora funzionante sulle ultime release di Wordpress. • http://www.blockcountryip.com/ Sito dove si possono avere le liste degli ip secondo la nazione che intendiamo limitare o bloccare del tutto, normalmente si bloccano le nazioni da dove provengono più attacchi ( naturalmente se non ci interessa ricevere traffico da quella zona ) • http://downloads.wordpress.org/plugin/widget-logic.0.56.zip Utile plugin che consente una intelligente gestione dei widget, consentendo di destinare menu ed elementi solo a specifiche pagine o post del sito. • http://codex.wordpress.org/Conditional_Tags Pagina di Wordpress dove trovare i Conditional tags da usare con widget logic. • http://ottodestruct.com/decoder.php pagina che consente di effettuare il reverse decoding di files criptati, serve appunto per vedere in chiaro il codice criptato se abbiamo sospetto sia malware. • http://seopressor.com/ utile plug-in che serve a monitorare le ottimizzazioni e principali % on page. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
Grazie a tutti! I miei recapiti Gualtiero Santucci E-mail: info@posizionamento-nei-motori.com – info@ranklab.it Twitter: www.twitter.com/ranklabstudio Facebook: https://www.facebook.com/pages/RankLab-Studio-SEO-Web-Agency/236003766413408 Linkedin: it.linkedin.com/pub/gualtiero-santucci/1/a73/b50 Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution

Recommandé

Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Silvia Cariello
 
Security wp 101
Security wp 101Security wp 101
Security wp 101Farnedi ICT srl
 
Toscana Joomla Party - Proteggiamo il nostro sito Joomla!
Toscana Joomla Party - Proteggiamo il nostro sito Joomla!Toscana Joomla Party - Proteggiamo il nostro sito Joomla!
Toscana Joomla Party - Proteggiamo il nostro sito Joomla!Paolo Nuti
 
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayAruba S.p.A.
 
Introduzione a WordPress: dall'installazione all'utilizzo del backend
Introduzione a WordPress: dall'installazione all'utilizzo del backendIntroduzione a WordPress: dall'installazione all'utilizzo del backend
Introduzione a WordPress: dall'installazione all'utilizzo del backendSilvia Cariello
 
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoLe risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoRegister.it
 
Il rel="nofollow": Quello Che Bisogna Sapere
Il rel="nofollow": Quello Che Bisogna SapereIl rel="nofollow": Quello Che Bisogna Sapere
Il rel="nofollow": Quello Che Bisogna SapereCarlenzoli Yuri
 
Installare un tema WordPress - tutto ciò che devi sapere
Installare un tema WordPress - tutto ciò che devi sapereInstallare un tema WordPress - tutto ciò che devi sapere
Installare un tema WordPress - tutto ciò che devi sapereMargherita Pelonara
 

Recommandé

Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Silvia Cariello
 
Security wp 101
Security wp 101Security wp 101
Security wp 101Farnedi ICT srl
 
Toscana Joomla Party - Proteggiamo il nostro sito Joomla!
Toscana Joomla Party - Proteggiamo il nostro sito Joomla!Toscana Joomla Party - Proteggiamo il nostro sito Joomla!
Toscana Joomla Party - Proteggiamo il nostro sito Joomla!Paolo Nuti
 
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayAruba S.p.A.
 
Introduzione a WordPress: dall'installazione all'utilizzo del backend
Introduzione a WordPress: dall'installazione all'utilizzo del backendIntroduzione a WordPress: dall'installazione all'utilizzo del backend
Introduzione a WordPress: dall'installazione all'utilizzo del backendSilvia Cariello
 
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoLe risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoRegister.it
 
Il rel="nofollow": Quello Che Bisogna Sapere
Il rel="nofollow": Quello Che Bisogna SapereIl rel="nofollow": Quello Che Bisogna Sapere
Il rel="nofollow": Quello Che Bisogna SapereCarlenzoli Yuri
 
Installare un tema WordPress - tutto ciò che devi sapere
Installare un tema WordPress - tutto ciò che devi sapereInstallare un tema WordPress - tutto ciò che devi sapere
Installare un tema WordPress - tutto ciò che devi sapereMargherita Pelonara
 
WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaFlavius-Florin Harabor
 
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiSicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiLaura Lonighi
 
Bene, usiamo WordPress.
Bene, usiamo WordPress.Bene, usiamo WordPress.
Bene, usiamo WordPress.Paolo Valenti
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilitàraffaele_forte
 
Rendere sicuro WordPress, la grande bufala
Rendere sicuro WordPress, la grande bufalaRendere sicuro WordPress, la grande bufala
Rendere sicuro WordPress, la grande bufalaPaolo Valenti
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Luca Silva
 
Webdays 2004 Blogfordummies2 Ok
Webdays 2004 Blogfordummies2 OkWebdays 2004 Blogfordummies2 Ok
Webdays 2004 Blogfordummies2 OkMassimo Schiro
 
Corso Pratico di WordPress
Corso Pratico di WordPressCorso Pratico di WordPress
Corso Pratico di WordPressNicola Strumia
 
Usiamo bene WordPress
Usiamo bene WordPressUsiamo bene WordPress
Usiamo bene WordPressPaolo Valenti
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Codemotion
 
Wordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e ConversazioneWordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e ConversazioneGiorgio Taverniti
 
Dixio ForWeb, il dizionario intelligente per tuo sito web!
Dixio ForWeb, il dizionario intelligente per tuo sito web!Dixio ForWeb, il dizionario intelligente per tuo sito web!
Dixio ForWeb, il dizionario intelligente per tuo sito web!Semantix
 
WordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un espertoWordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un espertoBoris Amico
 
I 1000 utilizzi di WordPress
I 1000 utilizzi di WordPressI 1000 utilizzi di WordPress
I 1000 utilizzi di WordPressMarco De Sangro
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
Bloggando con WordPress
Bloggando con WordPressBloggando con WordPress
Bloggando con WordPressGiacomo
 

Contenu connexe

Similaire à Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress

WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaFlavius-Florin Harabor
 
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiSicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiLaura Lonighi
 
Bene, usiamo WordPress.
Bene, usiamo WordPress.Bene, usiamo WordPress.
Bene, usiamo WordPress.Paolo Valenti
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilitàraffaele_forte
 
Rendere sicuro WordPress, la grande bufala
Rendere sicuro WordPress, la grande bufalaRendere sicuro WordPress, la grande bufala
Rendere sicuro WordPress, la grande bufalaPaolo Valenti
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Luca Silva
 
Webdays 2004 Blogfordummies2 Ok
Webdays 2004 Blogfordummies2 OkWebdays 2004 Blogfordummies2 Ok
Webdays 2004 Blogfordummies2 OkMassimo Schiro
 
Corso Pratico di WordPress
Corso Pratico di WordPressCorso Pratico di WordPress
Corso Pratico di WordPressNicola Strumia
 
Usiamo bene WordPress
Usiamo bene WordPressUsiamo bene WordPress
Usiamo bene WordPressPaolo Valenti
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Codemotion
 
Wordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e ConversazioneWordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e ConversazioneGiorgio Taverniti
 
Dixio ForWeb, il dizionario intelligente per tuo sito web!
Dixio ForWeb, il dizionario intelligente per tuo sito web!Dixio ForWeb, il dizionario intelligente per tuo sito web!
Dixio ForWeb, il dizionario intelligente per tuo sito web!Semantix
 
WordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un espertoWordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un espertoBoris Amico
 
I 1000 utilizzi di WordPress
I 1000 utilizzi di WordPressI 1000 utilizzi di WordPress
I 1000 utilizzi di WordPressMarco De Sangro
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
Bloggando con WordPress
Bloggando con WordPressBloggando con WordPress
Bloggando con WordPressGiacomo
 

Similaire à Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress (20)

WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezza
 
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passiSicurezza WordPress: rendere il tuo sito sicuro in 10 passi
Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi
 
Bene, usiamo WordPress.
Bene, usiamo WordPress.Bene, usiamo WordPress.
Bene, usiamo WordPress.
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
 
Rendere sicuro WordPress, la grande bufala
Rendere sicuro WordPress, la grande bufalaRendere sicuro WordPress, la grande bufala
Rendere sicuro WordPress, la grande bufala
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
 
Webdays 2004 Blogfordummies2 Ok
Webdays 2004 Blogfordummies2 OkWebdays 2004 Blogfordummies2 Ok
Webdays 2004 Blogfordummies2 Ok
 
Corso Pratico di WordPress
Corso Pratico di WordPressCorso Pratico di WordPress
Corso Pratico di WordPress
 
Usiamo bene WordPress
Usiamo bene WordPressUsiamo bene WordPress
Usiamo bene WordPress
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
 
Wordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e ConversazioneWordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e Conversazione
 
Dixio ForWeb, il dizionario intelligente per tuo sito web!
Dixio ForWeb, il dizionario intelligente per tuo sito web!Dixio ForWeb, il dizionario intelligente per tuo sito web!
Dixio ForWeb, il dizionario intelligente per tuo sito web!
 
WordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un espertoWordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un esperto
 
I 1000 utilizzi di WordPress
I 1000 utilizzi di WordPressI 1000 utilizzi di WordPress
I 1000 utilizzi di WordPress
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo Chirivì
 
Bloggando con WordPress
Bloggando con WordPressBloggando con WordPress
Bloggando con WordPress
 

Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress

  • 1. Diffuso, Flessibile, Versatile, Sicuro? Come rendere Wordpress più sicuro con alcuni accorgimenti prevenendo attacchi e intrusioni in rete correggendo oltre 50 punti critici. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution «Una vigile e provvida paura è la madre della sicurezza» Edmund Burke
  • 2. La grande diffusione di Wordpress tra i CMS Questa grande diffusione ne fa purtroppo anche il principale obbiettivo degli attacchi in rete. Dopo ogni nuova release di Wordpress, gli sviluppatori comunicano pubblicamente quali falle di sicurezza sono state patchate, e queste informazioni vengono poi usate dagli hackers per attaccare i siti che non sono ancora stati aggiornati con l’ultima versione. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 3. A quali problemi vado incontro se non mi proteggo? • Link SQL Injection: gli spammers, nella migliore delle ipotesi, possono riempire il nostro sito di link* verso i loro siti di spam, spesso invisibili ma trovati e indicizzati da Google facendoci perdere rank e traffico fino ad essere penalizzati, il lungo lavoro che abbiamo fatto sui nostri siti può quindi essere vanificato in breve tempo. Può accadere anche di vedere il nostro database interamente cancellato e se non abbiamo una copia di backup sono dolori. Cosa posso fare di concreto per proteggere il mio Wordpress? *I link spam sono quasi sempre diretti verso siti di Gambling, Viagra ed altri medicamenti e siti a carattere pornografico. I consigli che da sempre sentiamo su come proteggersi sono quelli di aggiornare sempre all’ultima versione disponibile e fare regolari copie di backup del nostro database, ma questo è sufficiente? NO! NON è sufficiente perché esistono molti punti critici in Wordpress che consentono agli spammers di conoscere quasi tutto del nostro sistema, ricavare informazioni e quindi poi accedere, sfruttandone le vulnerabilità e fare ciò che vogliono. Bisogna quindi fare di tutto per rendere il nostro Wordpress il più ermetico possibile, vediamo come! Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 4. Oggi parleremo di questi argomenti: 1) Impostazioni base durante l’installazione di Wordpress 2) Come individuare e controllare i punti critici 3) Dimostrazione pratica dei plug-in utili 4) Altre verifiche sui permessi delle cartelle essenziali di Wordpress 5) Uso del firewall, alerts e protezione 6) Uso intelligente dei widgets con Widget logic 7) Tenere sotto controllo alcuni parametri dei nostri contenuti (SEO) Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 5. 1) Partiamo dalle basi, il file config.php solo un promemoria senza voler essere ripetitivo ;-) • Salatura dei cookies, generatore qui: https://api.wordpress.org/secret-key/1.1/salt/ • Prefisso delle tabelle del database Standard= $table_prefix = ‘wp_'; Modificato= $table_prefix = 'deN6h_'; Sbagliato= define('DB_PASSWORD', ‘miosito'); • Password del database Corretto= define('DB_PASSWORD', 'wPewb9G6'); • Creiamo uno user che non sia il solito ‘admin’ perché se non lo cambiamo, lo spammer conoscerà già la metà del nostro login. • Cambiamo la directory per gli upload Standard= wp-content/uploads Corretto a= wp-content/custom-upload-directory Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 6. Attenzione anche a: • Consiglio vivamente di stare attenti nell’uso di temi gratuiti perché spesso contengono link e codici nascosti, quindi meglio spendere 30/40 dollari per un buon tema a pagamento che rischiare di avere il sito pieno di schifezze. • Disattivate ed eliminate i plug-in e i temi che non usate o che non sono realmente essenziali perché sono sempre possibili punti di intrusione. • Esistono alcuni plug-in che possono darci una mano nell’individuazione e nella correzione dei punti critici, con pochi click possiamo rendere il nostro wordpress molto più sicuro. Vediamone alcuni! Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 7. 2) Individuare e correggere i punti critici • http://wordpress.org/plugins/better-wp-security/ Utilissimo plugin che ci consente di individuare facilmente i punti critici del nostro Wordpress e di correggerli subito. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 8. 3)Controllare e correggere i permessi delle cartelle • http://wordpress.org/plugins/wp-security-scan/ Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 9. Installare un firewall Consiglio l’installazione del Wordpress Firewall 2*: http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip Una volta installato vi invierà degli alerts sulla vostra e-mail, indicandovi l’IP dell’attaccante e se lo vorrete potrete metterlo subito in blacklist. *( Lo sviluppo di questo plugin risulta interrotto, ma risulta ancora funzionante sulle ultime versioni di Wordpress, in ogni caso ne esistono anche altri) Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 10. Limitare le duplicazioni interne con Widget Logic http://downloads.wordpress.org/plugin/widget-logic.0.56.zip http://codex.wordpress.org/Conditional_Tagshttp://wordpress.org/plugins/reveal-ids-for-wp-admin-25/ + Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 11. Controllare ottimizzazioni on page con Seo Pressor www.seopressor.com Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 12. Riepilogo di alcuni plug-in utili per semplificarsi la vita • http://wordpress.org/plugins/better-wp-security/ ottimo plug-in che individua e corregge impostazioni e permessi in automatico e ci consente di schedulare regolari backup del database. • http://wordpress.org/plugins/wordpress-firewall-2/ firewall che protegge dagli attacchi e tentativi di intrusione più comuni. • http://wordpress.org/plugins/wp-security-scan/ plug-in per verificare la correttezza dei permessi delle principali cartelle di Wordpress e altro. • http://downloads.wordpress.org/plugin/wordpress-firewall-2.1.3.zip Plug-in che protegge dalla maggior parte degli attacchi in rete verso il nostro Wordpress, anche se non più aggiornato, appare ancora funzionante sulle ultime release di Wordpress. • http://www.blockcountryip.com/ Sito dove si possono avere le liste degli ip secondo la nazione che intendiamo limitare o bloccare del tutto, normalmente si bloccano le nazioni da dove provengono più attacchi ( naturalmente se non ci interessa ricevere traffico da quella zona ) • http://downloads.wordpress.org/plugin/widget-logic.0.56.zip Utile plugin che consente una intelligente gestione dei widget, consentendo di destinare menu ed elementi solo a specifiche pagine o post del sito. • http://codex.wordpress.org/Conditional_Tags Pagina di Wordpress dove trovare i Conditional tags da usare con widget logic. • http://ottodestruct.com/decoder.php pagina che consente di effettuare il reverse decoding di files criptati, serve appunto per vedere in chiaro il codice criptato se abbiamo sospetto sia malware. • http://seopressor.com/ utile plug-in che serve a monitorare le ottimizzazioni e principali % on page. Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution
  • 13. Grazie a tutti! I miei recapiti Gualtiero Santucci E-mail: info@posizionamento-nei-motori.com – info@ranklab.it Twitter: www.twitter.com/ranklabstudio Facebook: https://www.facebook.com/pages/RankLab-Studio-SEO-Web-Agency/236003766413408 Linkedin: it.linkedin.com/pub/gualtiero-santucci/1/a73/b50 Gualtiero Santucci - @ranklabstudio - info@ranklab.it #webreevolution