WordPress Security – Lezione 101

[vc_row][vc_column][vc_column_text]Se possiedi o gestisci un sito WordPress la sicurezza da attacchi informatici e da virus è una primaria necessità. Ecco alcuni utili consigli che ho presentato durante un intervento al Romagna WordPress Meetup nella serata del 10 Dicembre.

Seguono al video i vari link agli strumenti indicati ed una copia delle slide.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_row_inner][vc_column_inner][vc_video link=”https://youtu.be/aB432CkKGTQ” title=”WP security 101 – il video”][/vc_column_inner][/vc_row_inner][vc_custom_heading text=”Panoramica sui rischi di sicurezza di un sito WordPress” font_container=”tag:h1|text_align:left” google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal”][vc_separator][vc_column_text css=”.vc_custom_1449993722407{margin-top: 15px !important;}”]WordPress è utilizzato dal 24% dei siti sono WordPress internet nel mondo e rappresenta il 59% dei CMS conosciuti. Esistono 76.500.000 siti (update 03/09/2014)!

Una recente ricerca mostra come il 73% dei siti WordPress censiti risultava vulnerabile ad un attacco informatico.

Dei 10 plugin più diffusi e su cui è stata rilevata una vulnerabilità, 5 sono plugin a pagamento (ed uno di essi è un plugin di sicurezza).

Tutto questo dimostra come ci sia un grande bacino su cui i cyber criminali possono operare.[/vc_column_text][vc_column_text][su_quote]Non ho mai subito un attacco… Ma perché qualcuno dovrebbe attaccare proprio il mio sito?”[/su_quote][/vc_column_text][vc_column_text css=”.vc_custom_1449994312978{margin-top: 0px !important;border-top-width: 0px !important;padding-top: 0px !important;}”][alert color=yellow align=center]

Non esserne così felice, perché quando ti succederà non avrai sufficiente esperienza su come affrontare il problema.

[/alert]

Ma per quale ragione dovrebbero proprio attaccare il mio sito? Chi ci può guadagnare qualcosa?[/vc_column_text][vc_tta_tour][vc_tta_section title=”Cybercrime” tab_id=”1441873848772-340367cb-29893a19-e4de”][vc_row_inner][vc_column_inner][vc_single_image image=”5797″ img_size=”full” alignment=”center” style=”vc_box_border”][vc_custom_heading text=”Cybercrime” font_container=”tag:h2|text_align:left|color:%239e1833″ google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal” css=”.vc_custom_1449757756218{margin-top: 7px !important;margin-bottom: 0px !important;border-top-width: 0px !important;border-bottom-width: 0px !important;padding-top: 0px !important;padding-bottom: 0px !important;}”][vc_column_text]I margini di profitto del crimine informatico posizionano alcuni hacker tra le più redditizie imprese criminali, subito dopo il traffico di droga, il traffico di esseri umani e il commercio di armi illegali

Rapporto sulla sicurezza ICT in Italia[/vc_column_text][vc_custom_heading text=”Prezzi CyberTraffico” font_container=”tag:h2|text_align:left|color:%239e1833″ google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal” css=”.vc_custom_1449757808944{margin-top: 7px !important;margin-bottom: 0px !important;border-top-width: 0px !important;border-bottom-width: 0px !important;padding-top: 0px !important;padding-bottom: 0px !important;}”][vc_column_text]Un server compromesso viene noleggiato fino a 250€/m
Siti ben indicizzati vengono venduti a 122€
Rubare credenziali webmail: 120€
Webcam “rubate” 12 euro per 500 host

WordPress beyond online gaming Cybercrime[/vc_column_text][vc_custom_heading text=”Ecco alcuni comuni metodi di Attacco” font_container=”tag:h2|text_align:left|color:%239e1833″ google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal” css=”.vc_custom_1449994356919{margin-top: 7px !important;margin-bottom: 0px !important;border-top-width: 0px !important;border-bottom-width: 0px !important;padding-top: 0px !important;padding-bottom: 0px !important;}”][vc_column_text]

  • Brute Force Password
  • Vulnerabilità del Server e dell’installazione WP
  • Software Compromesso
  • DDoS Attack (distributed denial of service
  • … e ce ne sono molti altri.

[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_tta_section][/vc_tta_tour][vc_custom_heading text=”Come difendersi dagli attacchi SU WordPress” font_container=”tag:h1|text_align:left” google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal”][vc_separator][vc_tta_tour][vc_tta_section title=”Brute Force Password” tab_id=”1449758663309-bc8595d5-d363″][vc_row_inner][vc_column_inner][vc_single_image image=”5800″ img_size=”full” alignment=”center” style=”vc_box_border”][vc_custom_heading text=”Brute Force Password” font_container=”tag:h2|text_align:left|color:%239e1833″ google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal” css=”.vc_custom_1449758785871{margin-top: 7px !important;margin-bottom: 0px !important;border-top-width: 0px !important;border-bottom-width: 0px !important;padding-top: 0px !important;padding-bottom: 0px !important;}”][vc_column_text]Two factor Authenticator (Google Auth o Clef)
Password sicure e complesse
Limite numero di tentativi login (plugin)
Black list IP
Server Firewall
No Admin user per Pubblicare i Post
Non usare il proprio nome come user
sposta login page (plugin)
Nascondi WP version number (plugin)[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_tta_section][vc_tta_section title=”Vulnerabilità server” tab_id=”1449758922931-dce18687-f4c6″][vc_row_inner][vc_column_inner][vc_single_image image=”5801″ img_size=”large” alignment=”center” style=”vc_box_border”][vc_custom_heading text=”Vulnerabilità server” font_container=”tag:h2|text_align:left|color:%239e1833″ google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal” css=”.vc_custom_1449758958784{margin-top: 7px !important;margin-bottom: 0px !important;border-top-width: 0px !important;border-bottom-width: 0px !important;padding-top: 0px !important;padding-bottom: 0px !important;}”][vc_column_text]

  • Hardening Server – chmod directory – htaccess (limita browsing directory & exec file)
  • Disattiva File Edit da WP Admin console
  • Update Server (php & co.)
  • Update WP core
  • Update plugin e theme

[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_tta_section][/vc_tta_tour][vc_message message_box_color=”alert-success” icon_fontawesome=”fa fa-asterisk”]

Ricapitolando

[column size=half position=first ]

  • Sicurezza Password
  • Two Factor Authenticator
  • Security Plugin
  • Audit Periodica
  • Backup

[/column]

[column size=half position=last ]

  • Hardening Server
  • No Admin user per Edit
  • No Teme pirata
  • Server Update
  • Update WP e Plugin

[/column][/vc_message][vc_separator][vc_separator][vc_custom_heading text=”Entrando nel pratico” font_container=”tag:h2|text_align:left|color:%239e1833″ google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal” css=”.vc_custom_1449994622141{margin-top: 7px !important;margin-bottom: 0px !important;border-top-width: 0px !important;border-bottom-width: 0px !important;padding-top: 0px !important;padding-bottom: 0px !important;}”][vc_column_text]

  • Backup frequenti e offside con retention 30gg
  • Check modifiche file
  • Scan periodico dei file
  • Check uptime del server/sito
  • Antispam
  • Soluzioni Scan
    • Google Webmaster Tools (Google Search console)
    • Sucuri (antivirus)
    • CodeGuard (backup)
    • WP Security Audit 
    • Plugin Security (free & premium)
  • Check Uptime

[/vc_column_text][vc_custom_heading text=”Come procedere quando il sito risulta infetto?” font_container=”tag:h2|text_align:left|color:%239e1833″ google_fonts=”font_family:Montserrat%3Aregular%2C700|font_style:400%20regular%3A400%3Anormal” css=”.vc_custom_1449995034459{margin-top: 7px !important;margin-bottom: 0px !important;border-top-width: 0px !important;border-bottom-width: 0px !important;padding-top: 0px !important;padding-bottom: 0px !important;}”][vc_column_text]In primo luogo esegui un restore dall’ultima copia di backup pulita che hai.

Se non puoi eseguire tale azione, allora puoi provare a pulire il sito infetto, usando un servizio professionale: noi consigliamo Sucuri.

Esegui ora un completo update di ogni elemento e metti in pratica le soluzioni di sicurezza che hai appena appreso.[/vc_column_text][vc_column_text]

[/vc_column_text][vc_separator][vc_separator][/vc_column][/vc_row][vc_row][vc_column][vc_column_text][slideshare id=56044177&doc=securitywp101-151211075148][/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]Link utili

[/vc_column_text][/vc_column][/vc_row]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.