rendere sicuro wordpress, la grande bufala
DESCRIPTION
La sicurezza è un approccio globale, prima che tecnico, mentale.TRANSCRIPT
Rendere sicuro WordPress, la grande
bufala
WordPress meetup - Milano 2014 3 dicembre
La sicurezza è un approccio globale, prima che tecnico, mentale.
Wolly aka
Paolo Valenti WordPress Italy
Wolly aka
Paolo Valentipaolovalenti.info
wpitaly.it [email protected]
skype:wolly66 twitter/wolly
facebook.com/wolly tel: 3932948156 (for women only)
La sicurezza non esiste
L’unico sistema veramente sicuro è spento, affogato in una bara di cemento, chiuso in un caveau sotteranneo, blindato e sorvegliato da guardie armate – e anche in quel caso continuo ad avere dei dubbi - Prof. Eugene Spafford – Purdue University
Il vero bugtra la sedia e la tastiera
System error
Le password
123456
password
12345678
qwerty
abc1237
Le password
123456789
111111
1234567
iloveyou
adobe1238
Sei sveglio?
Buongiorno, sono Marco del supporto tecnico.
Ciao Marco, dimmi.
Devi darmi il tuo username e password che dobbiamo fare degli aggiornamenti
username: pippo, password: pluto
Post -itUn’idea meravigliosa
Phishing - doppia autenticazione
11
Dear Gmail customer From now if you need more than 2 GB of space use this
invitation and upgrade your account to 100 GB of space also you can register one free domain name via this invitation
your account upgrade will done after 24 hours your invitation code is: http://gmailupgrades.com/Gmail-
Account-Upgrade/…/ Thank You
Gmail Support Department
Backupil vostro lavoro non deve perdersi
Backup
Cos’è un backup?
La propria politica di backup
Backup del database
Backup dei file
13
Cos’è?
Il backup è la copia di tutto il nostro lavoro.
Il backup ci permette di ripristinare il nostro lavoro se per qualsiasi motivo dovesse perdersi
Il backup è la nostra ancora di salvezza
14
Politica di backup
Backup giornaliero del database
Backup settimanale degli attachments
Backup mensile dell’installazione
Disseminazione dei backup nel cloud
15
I dati dei vostri post e delle vostre pagine vengono salvati in due posti distinti e separati:
I testi dei post, delle pagine, dei custom post type, i menù, le impostazioni dei temi etc. vengono tutte salvate nel database
Le immagini, gli attachment vengono salvati sul server nella directory uploads situata nella directory wp-content
16
Backup del database
phpMyAdmin è il software per gestire i database e fare i backup.
17
Backup dei file
filezilla è un software open source, multipiattaforma per fare il backup dei file via ftp
18
BackWPup
http://wordpress.org/plugins/backwpup/
Un plugin semplice ed efficace
backup in cloud su dropbox&c.
backup database
backup dei file
19
Import/exportimportare e esportare i nostri contenuti
Import
In backend, menù strumenti, troviamo la funzione importa che ci permette di importare i contenuti da molte piattaforme e naturalmente ci permette di importare da ogni installazione WordPress sia wodpress.com che wordpress.org
21
Export
In backend, menù strumenti, troviamo la funzione esporta che ci permette di esportare tutti i nostri contenuti in un formato XML che potremo poi importare in ogni installazione WordPress sia wodpress.com che wordpress.org
22
Un po’ di sicurezzail minimo indispensabile
regole base
Usare sempre la versione più recente di WordPress
Backup del database giornaliero
Backup dei file
Usare password forti We4_78Horz
24
regole base
Aggiornare i plugin
Eliminare i plugin inutilizzati
Scaricare temi solo da siti sicuri e conosciuti
25
regole base installazione
non usare wp_ come prefisso delle tabelle, usare la tecnica del gatto: 383j8w_
l’utente amministratore NON deve essere admin
Chiudere la registrazione al sito
se le registrazioni sono aperte, il livello di registrazione deve essere il più basso: sottoscrittore.
26
ricordati sempre che:
Nessun Plugin è più importante della sicurezza del tuo blog
Nessun Tema è più importante della sicurezza del tuo blog
Non c’è nessun motivo valido per non aggiornare il tuo blog prontamente
27
ricordati sempre che:
Se il tuo blog è compromesso potresti creare danni anche agli altri ospiti del tuo hosting condiviso.
Backup, backup e ancora backup.
Se non hai tempo o voglia di seguire la parte tecnica del tuo blog c’è sempre WordPress.com e non è un ripiego e i tuoi contenuti non vengono sminuiti.
28
Si, lo so
In internet si trovano “tons of posts” con soluzioni magiche tipo quello di un tizio che mi ha chiesto un parere e gli ho risposto: hai scritto una marea di cagate, le cancellerei. Lui ha replicato: io non sono un esperto di sicurezza, le ho trovate su internet e mi sembra giusto pubblicarle!
Game, set, match.
29
I ruoli
Web designer: cura la grafica
Developer: installa, scrive codice sicuro, aggiorna
Sys admin: si occupa della configurazione della piattaforma hardware e si occupa di gestire la sicurezza globale.
30
Scelta dei plugin
Solo da autori noti e riconosciuti
Non basarsi sul numero dei download, il fatto che sia stato scaricato un milione di volte NON significa che un milione di persone lo hanno controllato, mail poet ne è un esempio, timbthumb è un altro esempio
i plugin sul repository di wordpress.org NON sono verificati
31
Plugin utiliestendere le capacità di WordPress
Wordfence
itheme security
33
–wolly
“La sicurezza non esiste, non sentitevi mai sicuri”.
(in) Sicurezza
piattaforma tecnologica
addestramento utenti
software applicativo
AIUTO, MI HANNO “ACHERATO”COSA FACCIO ORA?
mi hanno “acherato” tutto il server
Mi è successo l’anno scorso
file di backup ricevuto da persona affidabile di grande società
tre rootkit e malware assortiti
Come ho risolto?
Indagine
Antivirus
Backup
Nessuno è più affidabile
Grazie a tutti Domande?