View
275
Download
1
Category
Preview:
Citation preview
WordPress Security
Regole e Plugin base
per evitare l’hacking del vostro sito
Panoramica: quali argomenti vedremo insieme?
Generazione e test perPassword e Username sicuri
Backup spazio web:• manuali• automatici
Backup Database:• manuali• automatici
Aggiornamenti di sistema.Installazione Plugin per la sicurezza del vostro sito.
Importanza di Password e Username sicuri
Partiamo dalle basi!Per l’accesso al
back endnon dobbiamo
MAIutilizzare
come USERNAME:• Admin• Administrator• Il nome del dominio• Il nome del sito
Importanza di Password e Username sicuri
Perché?Sono le credenziali
che gli HACKERutilizzano per prime
per provare a violareil nostro SITO WEB
Fonte immagine Gmail mail.google.com
Importanza di Password e Username sicuri
Qual è un username sicuro?Purtroppo non
ne esisteuno sicuro al 100%
MA…
…possiamo utilizzarealcuni trucchi:• inserire caratteri speciali• sostituire lettere con
numeri
Importanza di Password e Username sicuri
Come?Ad esempio il signor
Mario Rossi potrebbe utilizzare come
username:
M@r10-r0s$I
Dove ha sostituito:• le a con il simbolo @• le i con il numero 1• le o con lo 0• le s con il simbolo $
Importanza di Password e Username sicuri
Come?Creando cosìcombinazioni dilettere e numeripiù difficili da decifrare
Fonte immagine CMS WordPress
Importanza di Password e Username sicuri
…e per la Password?In linea di massima
valgono le stesse regole utilizzate per username,
ma soprattutto NONdobbiamo utilizzare…
…come PASSWORD:• ripetizione username• il nostro nome• la nostra data di nascita• solo lettere o numeri• 1234, qwerty, password
Importanza di Password e Username sicuri
Perché?Perché sono le prime
che gli HACKER tentano sul nostro sito
e hanno una probabilità molto alta di essere
identificate
Fonte immagine kaspersky.com
Importanza di Password e Username sicuri
In quanto tempo si «cracka» una password non sicura?Password brevi, che
presentano solo lettere o numeri, sono molto
facili da «crackare» alcune nel giro
di pochi secondi
Fonte immagine kaspersky.com
Importanza di Password e Username sicuri
Qual è una password sicura?Anche in questo caso, purtroppo non esiste
una passwordsicura al 100%
MA…
…possiamo utilizzarealcuni trucchi:• inserire caratteri speciali• sostituire lettere con
numeri• utilizzare il generatore
password di WordPress
Importanza di Password e Username sicuri
Come?Ad esempio il signor
Mario Rossi nato a Roma il 12/02/1965
potrebbe utilizzare come password:
!doDic1-F3b6Cinq-RM/
Dove ha sì utilizzato la sua data di nascita ma ha:• scritto giorno mese anno
alternando maiuscole, minuscole e numeri
• utilizzato caratteri speciali
Importanza di Password e Username sicuri
Come?Creando cosìcombinazioni dilettere e numeripiù difficili da decifrare e rendendo la suaPASSWORD SICURA
Fonte immagine CMS WordPress
Importanza di Password e Username sicuri
Alcuni «tool» per verificare l’inviolabilità della password
1°
il generatore password integrato in WordPress.
WordPress segnala sempre se la password inserita è:• Forte• Media• Debole• Molto Debole
Fonte immagine CMS WordPress
Importanza di Password e Username sicuri
Alcuni «tool» per verificare l’inviolabilità della password
2°
Strumento Forza Passworddel Plugin WordPress
«All in One WPSecurity and Firewall»
Il Plugin ci avvisa in quanto tempo la password potrebbe essere «crackata»
Fonte immagine CMS WordPress
Importanza di Password e Username sicuri
Alcuni «tool» per verificare l’inviolabilità della password
3°
La risorsa online«Kaspersky secure
password check»
Questo tool ci segnala in quanto tempo la nostra password potrebbe essere crackata da un computer anni 80 o da uno di ultima generazione
Fonte immagine kaspersky.com
Importanza di Password e Username sicuri
Ricapitolando
Per avere username e password sicuri
basta seguirealcune semplici regole:
1) Se siamo amministratori WordPress, NON dobbiamo utilizzare• Admin/administrator• Password e username
uguali
Importanza di Password e Username sicuri
Ricapitolando
Per avere username e password sicuri
basta seguirealcune semplici regole:
2)• Alternare lettere
maiuscole, minuscole e numeri
• Sostituire alcune lettere con numeri e simboli
• Inserire simboli
Importanza di Password e Username sicuri
Ricapitolando
Per avere username e password sicuri
basta seguirealcune semplici regole:
3)Verificare l’inviolabilità della password con:• Il generatore password di
WordPress• Tool nei Plugin di sicurezza• Tool Online
Importanza di Password e Username sicuri
Ricapitolando
Per avere username e password sicuri
basta seguirealcune semplici regole:
4)IL BUON SENSO
L’importanza del Backup dei file e del database
Cos’è un Backup?
Il BACKUP è laCOPIA DEI DATI
su un dispositivo di memorizzazioneche può essere
sia «fisico» che «cloud»
Esattamente quello che facciamo sui nostri smartphone per non perdere le foto e i contatti, dobbiamo farlo anche per il nostro sito WordPress.
L’importanza del Backup dei file e del database
Perché è importante il Backup?
Perché possiamo essere in grado di recuperare i
contenuti del nostro sito e non perdere il lavoro fatto
in caso di:• HACKING del sito• MALFUNZIONAMENTOdi server/hosting/database• ERRORI da parte nostra
L’importanza del Backup dei file e del database
Come non rischiare di perdere il nostro sito?
Ci sono alcune pratiche preliminari alla
realizzazione del sito che possono metterci al sicuro.
Queste pratiche vanno attuate già al momento dell’acquistodel nostro dominio.
L’importanza del Backup dei file e del database
1. Servizio di Backup del Provider
I provider di server e hosting consentono di associare più servizi al
dominio acquistato.
QUALI SERVIZI acquistare?• Backup dello spazio web
su cui risiede il sito• Backup del database
MySql
L’importanza del Backup dei file e del database
1. Servizio di Backup del Provider
Grazie ai SERVIZI di BACKUP del provider è
possibile recuperare i contenuti fino a una
settimana primao fino all’ultima copia di
«restore» salvata.
Inoltre se non siamo esperti, sistemisti o programmatori, possiamo chiedere al provider stesso di ripristinarne una copia.
L’importanza del Backup dei file e del database
2. Backup «manuali»
Oltre ai servizi offerti dal Provider, che consiglio di
acquistare sempre, è possibile fare dei
Backup «MANUALI».
Si, ma come si fanno?
Possiamo utilizzare:i «tool» presenti sul nostro pannello di controllo del dominio oppure installare alcuni programmi sui nostri computer.
L’importanza del Backup dei file e del database
2. Backup «manuali» - File Manager
Uno strumento presente nel pannello di controllo
è:il «FILE MANAGER».
L’accesso al «File Manager» consente di visualizzare i
file presenti sul nostro spazio web e di selezionarli
per effettuarne il DOWNLOAD.
Fonte immagine Personale
L’importanza del Backup dei file e del database
2. Backup «manuali» - Database Manager
Un altro strumento presente nel
pannello di controlloè il
«DATABASE MANAGER».
Consente di visualizzare attraverso un’interfaccia
web (phpMyAdmin) le tabelle del database, di
selezionarle e creare un DUMP (salvataggio) dei
RECORD su file .sql o .zip
Fonte immagine phpMyAdmin
L’importanza del Backup dei file e del database
2. Backup «manuali» - Programmi sul computer
In alternativa ai tool del pannello di controllo
possiamo installare sul nostro computer
programmi che hanno le stesse funzionalità.
Quali?Ad esempio:• FileZilla per il backup dei
file• MySQL per backup
database
L’importanza del Backup dei file e del database
2. Backup «manuali» - FileZillaConnettendoci con
FileZilla, selezionando le cartelle e i file di
WordPress, possiamo scaricarli direttamente sul
nostro computer
Fonte immagine Filezilla
L’importanza del Backup dei file e del database
2. Backup «manuali» - MySQLConnettendoci con MySQL
Workbench possiamo utilizzare la funzionalità
Data Export per esportare il nostro database e
scaricarne una copia sul nostro computer.
Fonte immagine dev.mysql.com
L’importanza del Backup dei file e del database
2. Backup «manuali»
ATTENZIONE:Se non siete assolutamente
sicuri di quello che fate, non improvvisate, perché
potreste fare danni.
CONSIGLIO:Per i backup manuali affidiamoci al nostro Developer, sistemista o tecnico informatico di fiducia
L’importanza del Backup dei file e del database
3. Backup «automatici»
Come si fanno i backup automatici?
Semplice!
Installando sul nostro sito WordPress i Plugin che hanno questa funzionalità.
L’importanza del Backup dei file e del database
3. Backup «automatici» - W i Plugin!
Quali scegliere?Ce ne sono numerosi e
praticamente si equivalgono.
È importante scegliere quelli che fanno al caso nostro.
L’importanza del Backup dei file e del database
3. Backup «automatici» - Quali Plugin? Dipende!
Chiediamoci:COSA e COME
vogliamo fare questo Backup?
• Riceverlo via email?• Salvarlo sul nostro
Cloud?• Che risieda sullo spazio
web?
L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin: Backup via email
Riceverlo via email?Ottimo!
Esistono Plugin che inviano:
i file .sql o .zip del databaseo una notifica del backup completo (database e file) da scaricare dall’area di amministrazione del sito.
L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin: Backup su Cloud
Salvarlo sul Cloud?Ottimo!
Esistono Plugin che, una volta collegati al nostro
cloud, consentono
di salvare i file del sito WordPress e del database direttamente su:DropBoxDriveAmazone molti altri servizi cloud.
L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin: Backup sul server
Una copia di backup sullo spazio web?
Ottimo!
Esistono Plugin che consentono
di salvare i file del sito WordPress e del database direttamente in una cartella sul server.
L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin per tutti i gusti!
Una volta scelto il metodo che preferiamo dobbiamo
solo iniziare!
Vediamo alcuni Plugin di esempio e come si comportano.
L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin WP All Backup
Invia una notifica email dell’avvenuto backup
Lo salva sullo spazio webConsente di collegare il
nostro cloud(DropBox, Drive, ecc..)
Fonte immagine wordpress.org/plugins/wp-all-backup/
L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin All in One WPSecurity & FirewallInvia una notifica email
dell’avvenuto backup del Database
Fonte immagine wordpress.org/plugins/all-in-one-wp-security-and-firewall/
L’importanza del Backup dei file e del database
3. Backup «automatici» - Plugin BackWPup WordPress Backup PluginEsegue il backup di
database e fileInviandolo via email oppure
salvandolo su:Server, Dropbox, Google
Drive, Microsoft Azure, Amazon Glacier
Fonte immagine wordpress.org/plugins/ backwpup/
L’importanza del Backup dei file e del database
Ricapitolando
È possibile fare backup utilizzando i SERVIZI del
nostro PROVIDER
Acquistando:• Servizio di backup dello
spazio web• Servizio di backup del
database
L’importanza del Backup dei file e del database
Ricapitolando
È possibile fare backup utilizzando gli strumenti
presenti nelPANNELLO DI CONTROLLO
Utilizzando:• «FILE MANAGER» per i
file• «DATABASE
MANAGER» per il database
L’importanza del Backup dei file e del database
Ricapitolando
È possibile fare backup utilizzando i programmi
installati sui nostri computer
Utilizzando:• «FileZilla» per i file• «MySQL» per il database
L’importanza del Backup dei file e del database
Ricapitolando
È possibile fare backup utilizzando i Plugin di
WordPress
Scegliendo:• Backup con notifica
email• Salvataggio sul cloud• Salvataggio sul server
L’importanza del Backup dei file e del database
Quindi
Fate i backup… … e niente scuse!
L’importanza degli Aggiornamenti:WordPress + Plugin + Theme
A cosa servono gli aggiornamenti?
Gli aggiornamenti servono ad apportare migliorie e a
risolvere i «bug» (difetti/malfunzionamenti)
del CMS, Plugin o Tema.
Vanno a sovrascrivere il codice (php, html, javascript, css) e il linguaggio SQL esistente.
L’importanza degli Aggiornamenti:WordPress + Plugin + Theme
Quando farli?
Vanno sempre fatti!
Quando esce un nuovo aggiornamento del Core di
WordPress devo aggiornare subito?
Dipende!È bene verificare che per i Temi e i Plugin presenti sul sito WordPress siano stati rilasciati aggiornamenti compatibili con l’ultima versione del CMS.
L’importanza degli Aggiornamenti:WordPress + Plugin + Theme
Plugin e Temi sono compatibili con l’ultima versione di WordPress?Se Sì
Aggiorniamo pure, ma con le dovute precauzioni
(Backup!!!)
Se NO
Aspettiamo il rilascio degli aggiornamenti e verifichiamo i problemi sui forum di supporto di WordPress, Plugin e Temi.
L’importanza degli Aggiornamenti:WordPress + Plugin + Theme
Cosa fare prima di aggiornare?
Provate a indovinare?
BACKUP!!!
Dei file e del database.
Avere un backup completo ci consente di ripristinare il sito funzionante, senza perdere tutto il lavoro fatto.
L’importanza degli Aggiornamenti:WordPress + Plugin + Theme
Aggiornamento di un Tema
Attenzione!Verifichiamo che le
personalizzazioni grafiche presenti del foglio di stile
(style.css)siano state fatte…
• su un tema Child appositamente creato o installato
• nella sezione dedicata nelle Opzioni del Tema
L’importanza degli Aggiornamenti:WordPress + Plugin + Theme
Aggiornamento di un Tema
Se così non fosse e le modifiche fossero state
apportate al core del Tema
potremmo rischiare di perdere le nostre personalizzazioni.
L’importanza degli Aggiornamenti:WordPress + Plugin + Theme
Perché aggiornare?
Perché se non aggiorniamo spesso, gli HACKER
possono sfruttare le falle nel sistema, che sono state risolte negli aggiornamenti,
per violare il nostro sito.
Infatti spesso mandano delle «stringhe di codice dannose» a minare la sicurezza del nostro sito web.Non facciamoci cogliere impreparati!
L’importanza degli Aggiornamenti:WordPress + Plugin + Theme
Ricapitolando
Gli aggiornamenti vanno sempre fatti, verificando la
compatibilità dei Plugin edei Temi.
Prima di aggiornare effettuare SEMPREIl BACKUP COMPLETO!
I Plugin per la Sicurezza
A cosa servono e perché installarli?
A prevenire attacchi che potrebbero danneggiare il
nostro sito web.
Meglio se coadiuvati da un pacchetto di sicurezza di base sul nostro hosting.
I Plugin per la Sicurezza
Quali scegliere?
Esistono molti Plugin che possono soddisfare le
esigenze del nostro sito.
Vediamo 3 esempi nelle prossime slide.
I Plugin per la Sicurezza
Funzionalità del Plugin: Wordfence Security
FirewallLogin Security
Scansione dei fileBlocco attacco Hacking
Monitoraggio traffico e DNS
Fonte immagine wordpress.org/plugins/wordfence/
I Plugin per la Sicurezza
Funzionalità del Plugin: All In One WP Security & Firewall
Firewall AntispamLogin Security
Scansione e controllo filePrevenzione Brute Force
Personalizzazione .htaccess
Fonte immagine wordpress.org/plugins/wordfence/
I Plugin per la Sicurezza
Funzionalità del Plugin: Security, Antivirus, Firewall-S.A.F
Protezione Brute force Antivirus e Antispam
Scansione file e malwareProtezione attacchi al
backendIdentificazione di plugin e
temi vulnerabili
Fonte immagine wordpress.org/plugins/wordfence/
I Plugin per la Sicurezza
Ricapitolando
Grazie al costante aggiornamento dei
«Security Plugin» di WordPress…
… abbiamo solo l’imbarazzo della scelta per la sicurezza del nostro sito!
Esempi di configurazione
All in One WP Security & Firewall
Vediamo velocemente la configurazione di uno dei
plugin citati.
Dalle funzionalità più semplici a quelle più complesse.
Esempi di configurazione
La Bacheca fornisce a colpo d’occhio la situazione del livello di sicurezza del nostro sito.
Riepiloga:• Le Informazioni di Sistema, del sito,
del Php info e dei Plugin Attivi• Eventuali indirizzi IP bloccati• File di Log del Plugin
Fonte immagine CMS WordPress
Esempi di configurazione
Le Impostazioni servono a:• Eventualmente disabilitare alcune
funzioni di sicurezza e le regole del firewall
• Abilitare funzionalità di debug• Fare un backup dei file .htaccess e
wp-config.php• Importare ed Esportare le
configurazioni del Plugin da un sito WordPress all’altro.
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Account Utente fornisce:• Informazioni sui nomi utente degli
amministratori e in caso di presenza di un utente «Admin» lo segnala
• Come vengono visualizzati i nomi utente e se è il caso di modificarli
• Lo strumento di verifica della sicurezza della password
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Login Utente consente di bloccare l’accesso dopo un numero di tentativi prestabilito e di bloccare gli utenti inesistenti.Possiamo farci inviare una notifica email in caso di attacchi ripetuti.
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Registrazione Utenti consente:• Di attivare la registrazione manuale
degli utenti• Impostare i Captcha nel modulo di
registrazione
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Sicurezza Database consente:• Di cambiare il prefisso delle tabelle
in caso fosse impostato come «wp_»
• Impostare i backup automatici del database con invio di una notifica email con file sql in allegato
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Sicurezza File di Sistema consente:• Fare delle «Azioni Raccomandate»• Impostare correttamente i
permessi sul server• Impedire la modifica dei file PHP• Impedire l’accesso ai file di
installazione
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Gestione Blacklistconsente:• Attivare una «lista nera» di indirizzi
IP e User Agent Bannati
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Firewall consente di:• Impostare regole firewall di base e
aggiuntive• Impostare le regole di protezione di
sicurezza del firewall 6G (o 5G) progettati e realizzati da PerishablePress
• Bloccare i falsi Google Boot• Prevenire l’hotlinking delle
immagini• Personalizzare il file .htaccess
bloccando ad esempio i referraldannosi
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Brute Force consente di:• Rinominare la Pagina di Login• Proteggere la pagina di login da
attacchi• Inserire i Captcha nella Pagina di
Login• Avere una «lista bianca» di indirizzi
IP a cui consentire l’accesso• aggiungere un particolare campo
nascosto «honeypot» visibile solo ai robot e quindi individuare una pratica dannosa sul sito
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Spam consente di:• Attivare i captcha sul modulo dei
commenti• Prevenire commenti Spam• Monitorare gli IP Spam e bloccarli
Fonte immagine CMS WordPress
Esempi di configurazione
La sezione Scanner consente di:• Rilevare modifiche sui file, quindi di
monitorare sempre il sito in caso di inserimento di stringhe dannose nel codice
Fonte immagine CMS WordPress
WordPress SecurityConclusioni
Adesso che abbiamo le nozioni e conosciamo le procedure e i plugin che
possono aiutarci a mantenere più sicuro il
nostro sito…
… dobbiamo metterle in pratica e non ci sono più scuse per «rimandare a domani quello che può essere messo in sicurezza oggi»
Grazie
…per aver ascoltato il mio intervento…
… e per avermi dato l’opportunità di esporlo
Contatti
www.silviacariello.it@SilviaCariellowww.facebook.com/SilviaCarielloConsulenteInformaticowww.linkedin.com/in/silviacariello
Recommended