Embed Size (px)
Citation preview
@ffarnedi
Security WP 101Una veloce panoramica sui rischi di sicurezza
di un sito Wordpress e come difendersi
@ffarnedi
Domanda
• Quanti di voi hanno subito un attacco?
• Quanti siti WP gestisci attualmente?
@ffarnedi
“IO, non ho mai subito un attacco…”
Non esserne così felice, perché quando ti succederà non avrai sufficiente esperienza su come affrontare
il problema.
@ffarnedi
Chi sono ?
Gestisco con la mia azienda più di 200 siti (per lo più WordPress)
e mi occupo di hosting da 15 anni
@ffarnedi
Un po di dati• WordPress è utilizzato dal 24% dei siti internet nel mondo*
e rappresenta il 59% dei CMS conosciuti.• 76.500.000 siti (update 03/09/2014)**• 73% dei siti WordPress risultavano vulnerabili***
• Dei 10 plugin più vulnerabili 5 sono premium (uno dei quali è un plugin di sicurezza)
* Fonte W3Techs Nov 15 - http://w3techs.com/technologies/details/cm-wordpress/all/all** BuiltWith cita 16.000.000 nel proprio DB http://trends.builtwith.com/cms/WordPress*** Report Alexa 2013
http://www.wpwhitesecurity.com/wordpress-security-news-updates/statistics-70-percent-wordpress-installations-vulnerable/
@ffarnedi
“Ma perché qualcuno dovrebbe attaccare proprio il mio sito?”
@ffarnedi
Cybercrime“I margini di profitto del crimine informatico posizionano alcuni hacker tra le più redditizie
imprese criminali, subito dopo il traffico di droga,
il traffico di esseri umani e il commercio di armi illegali”
https://collabra.email/wp-content/uploads/2015/04/Rapporto-Clusit-2015-web.pdf
@ffarnedi
Prezzi CyberTraffico• Un server compromesso viene noleggiato fino a 250€/m
• Siti ben indicizzati vengono venduti a 122€
• Rubare credenziali webmail: 120€
• Webcam “rubate” 12 euro per 500 host
fonte: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-beyond-online-gaming-cybercrime.pdf
@ffarnedi
ho la vostra attenzione?
@ffarnedi
Comuni Metodi di Attacco
• Brute Force Password
• Vulnerabilità del Server e dell’installazione WP
• Software Compromesso
• DDoS Attack (distributed denial of service
• you name it…
@ffarnedi
Come difendersi da: Brute Force Password• Two factor Authenticator (Google Auth o Clef)• Password sicure e complesse
• Limite numero di tentativi login (plugin)• Black list IP• Server Firewall• No Admin user per Pubblicare i Post• Non usare il proprio nome come user• sposta login page (plugin)• Nascondi WP version number (plugin)
@ffarnedi
Come difendersi da: Vulnerabilità server• Hardening Server
• chmod directory
• htaccess (limita browsing directory & exec file)
• Disattiva File Edit da WP Admin console
• Update Server (php & co.)• Update WP core
• Update plugin e theme
@ffarnedi
Recap• Sicurezza Password
• Two Factor Authenticator
• Security Plugin
• Audit Periodica
• Backup
• Hardening Server
• No Admin user per Edit
• No Teme pirata
• Server Update
• Update WP e Plugin
@ffarnedi
Ma si può “perire” di troppa sicurezza?
@ffarnedi
E’ possibile essere a prova di attacco?
NO
@ffarnedi
Entriamo nel pratico• Backup frequenti e offsite con retention 30gg
• Check sulle modifiche ai file
• Scan periodico dei file
• Check uptime del server/sito
• Filtro Antispam
@ffarnedi
Soluzioni Scan• Google Webmaster Tools (Google Search
console)
• Sucuri (antivirus) o WAF
• CodeGuard (backup)
• WP Security Audit
• Plugin Security (Pro)
@ffarnedi
Password Sicure
@ffarnedi
WAF
@ffarnedi
Check Uptime• Jetpack by WordPress.com
• ManageWP
• Pingdom
• SensorPress plugin
• Uptime Monitor plugin
@ffarnedi
Il sito è stato infettato… Ora?
1. Restore da Backup
2. oppure Malware CleanUp (attenti al DB)
3. Update e Sicurezza
@ffarnedi
Plugin Sicurezza
• Wordfence/pro
• Sucuri
• Jetpack
• iThemes Security/pro
@ffarnedi
Plugin SicurezzaPlugin Free Premiu
m Info link
si si funzionalità a confronto download
si si funzionalità a confronto download
si servizio scan pro download
si download
@ffarnedi
Un sito hardened può essere “incompatibile” con certi plugin o Temi
@ffarnedi
Hosting a confrontoHosting Antivirus/
scanPlugin
Security Backup Firewall AutoUpdate
yes yes yes yes yes
yes yes yes
yes yes yes yes
Il Tuo ? ? ? ? ?
@ffarnedi
201 preview
https://blog.sucuri.net/2015/10/install-wpscan-wordpress-vulnerability-scan.html
@ffarnedi
CheckListWordPress Aggiornato
Plugin e Tema Aggiornato
Cancella Plugin e Temi non utilizzati
Scarica plugin e Temi da fonti sicure
Cambia i permessi delle directory (777)
@ffarnedi
CheckListNon usare “admin” come nome utente
Password sicure e aggiornate periodicamente
Aggiungi Two-step autentication
Limita numero login
Accesso Admin solo a pochi utenti
Backup sito
@ffarnedi
CheckListUsa un security scan
Disabilita l’editor incorporato di Temi e Plugin
Elimina php error log
Proteggi file con .htaccess
Maschera il nome dell’autore dei Post (user-name)
Log delle modifiche ai file
Blocca pagina login
@ffarnedi
Approfondimenti• Link a questo articolo/slide/link/video
https://www.farnedi.it/wordpress-security-101/
