wordpress security regole e plugin base per evitare l'hacking del vostro sito - wordcamp milano...

WordPress Security

Regole e Plugin base

per evitare l’hacking del vostro sito

Panoramica: quali argomenti vedremo insieme?

Generazione e test perPassword e Username sicuri

Backup spazio web:• manuali• automatici

Backup Database:• manuali• automatici

Aggiornamenti di sistema.Installazione Plugin per la sicurezza del vostro sito.

Importanza di Password e Username sicuri

Partiamo dalle basi!Per l’accesso al

back endnon dobbiamo

MAIutilizzare

come USERNAME:• Admin• Administrator• Il nome del dominio• Il nome del sito


Perché?Sono le credenziali

che gli HACKERutilizzano per prime

per provare a violareil nostro SITO WEB

Fonte immagine Gmail mail.google.com


Qual è un username sicuro?Purtroppo non

ne esisteuno sicuro al 100%

MA…

…possiamo utilizzarealcuni trucchi:• inserire caratteri speciali• sostituire lettere con

numeri


Come?Ad esempio il signor

Mario Rossi potrebbe utilizzare come

username:

M@r10-r0s$I

Dove ha sostituito:• le a con il simbolo @• le i con il numero 1• le o con lo 0• le s con il simbolo $


Come?Creando cosìcombinazioni dilettere e numeripiù difficili da decifrare

Fonte immagine CMS WordPress


…e per la Password?In linea di massima

valgono le stesse regole utilizzate per username,

ma soprattutto NONdobbiamo utilizzare…

…come PASSWORD:• ripetizione username• il nostro nome• la nostra data di nascita• solo lettere o numeri• 1234, qwerty, password


Perché?Perché sono le prime

che gli HACKER tentano sul nostro sito

e hanno una probabilità molto alta di essere

identificate

Fonte immagine kaspersky.com


In quanto tempo si «cracka» una password non sicura?Password brevi, che

presentano solo lettere o numeri, sono molto

facili da «crackare» alcune nel giro

di pochi secondi



Qual è una password sicura?Anche in questo caso, purtroppo non esiste

una passwordsicura al 100%

MA…

…possiamo utilizzarealcuni trucchi:• inserire caratteri speciali• sostituire lettere con

numeri• utilizzare il generatore

password di WordPress


Come?Ad esempio il signor

Mario Rossi nato a Roma il 12/02/1965

potrebbe utilizzare come password:

!doDic1-F3b6Cinq-RM/

Dove ha sì utilizzato la sua data di nascita ma ha:• scritto giorno mese anno

alternando maiuscole, minuscole e numeri

• utilizzato caratteri speciali


Come?Creando cosìcombinazioni dilettere e numeripiù difficili da decifrare e rendendo la suaPASSWORD SICURA



Alcuni «tool» per verificare l’inviolabilità della password

1°

il generatore password integrato in WordPress.

WordPress segnala sempre se la password inserita è:• Forte• Media• Debole• Molto Debole




2°

Strumento Forza Passworddel Plugin WordPress

«All in One WPSecurity and Firewall»

Il Plugin ci avvisa in quanto tempo la password potrebbe essere «crackata»




3°

La risorsa online«Kaspersky secure

password check»

Questo tool ci segnala in quanto tempo la nostra password potrebbe essere crackata da un computer anni 80 o da uno di ultima generazione



Ricapitolando

Per avere username e password sicuri

basta seguirealcune semplici regole:

1) Se siamo amministratori WordPress, NON dobbiamo utilizzare• Admin/administrator• Password e username

uguali


Ricapitolando



2)• Alternare lettere

maiuscole, minuscole e numeri

• Sostituire alcune lettere con numeri e simboli

• Inserire simboli


Ricapitolando



3)Verificare l’inviolabilità della password con:• Il generatore password di

WordPress• Tool nei Plugin di sicurezza• Tool Online


Ricapitolando



4)IL BUON SENSO

L’importanza del Backup dei file e del database

Cos’è un Backup?

Il BACKUP è laCOPIA DEI DATI

su un dispositivo di memorizzazioneche può essere

sia «fisico» che «cloud»

Esattamente quello che facciamo sui nostri smartphone per non perdere le foto e i contatti, dobbiamo farlo anche per il nostro sito WordPress.


Perché è importante il Backup?

Perché possiamo essere in grado di recuperare i

contenuti del nostro sito e non perdere il lavoro fatto

in caso di:• HACKING del sito• MALFUNZIONAMENTOdi server/hosting/database• ERRORI da parte nostra


Come non rischiare di perdere il nostro sito?

Ci sono alcune pratiche preliminari alla

realizzazione del sito che possono metterci al sicuro.

Queste pratiche vanno attuate già al momento dell’acquistodel nostro dominio.


1. Servizio di Backup del Provider

I provider di server e hosting consentono di associare più servizi al

dominio acquistato.

QUALI SERVIZI acquistare?• Backup dello spazio web

su cui risiede il sito• Backup del database

MySql


1. Servizio di Backup del Provider

Grazie ai SERVIZI di BACKUP del provider è

possibile recuperare i contenuti fino a una

settimana primao fino all’ultima copia di

«restore» salvata.

Inoltre se non siamo esperti, sistemisti o programmatori, possiamo chiedere al provider stesso di ripristinarne una copia.


2. Backup «manuali»

Oltre ai servizi offerti dal Provider, che consiglio di

acquistare sempre, è possibile fare dei

Backup «MANUALI».

Si, ma come si fanno?

Possiamo utilizzare:i «tool» presenti sul nostro pannello di controllo del dominio oppure installare alcuni programmi sui nostri computer.


2. Backup «manuali» - File Manager

Uno strumento presente nel pannello di controllo

è:il «FILE MANAGER».

L’accesso al «File Manager» consente di visualizzare i

file presenti sul nostro spazio web e di selezionarli

per effettuarne il DOWNLOAD.

Fonte immagine Personale


2. Backup «manuali» - Database Manager

Un altro strumento presente nel

pannello di controlloè il

«DATABASE MANAGER».

Consente di visualizzare attraverso un’interfaccia

web (phpMyAdmin) le tabelle del database, di

selezionarle e creare un DUMP (salvataggio) dei

RECORD su file .sql o .zip

Fonte immagine phpMyAdmin


2. Backup «manuali» - Programmi sul computer

In alternativa ai tool del pannello di controllo

possiamo installare sul nostro computer

programmi che hanno le stesse funzionalità.

Quali?Ad esempio:• FileZilla per il backup dei

file• MySQL per backup

database


2. Backup «manuali» - FileZillaConnettendoci con

FileZilla, selezionando le cartelle e i file di

WordPress, possiamo scaricarli direttamente sul

nostro computer

Fonte immagine Filezilla


2. Backup «manuali» - MySQLConnettendoci con MySQL

Workbench possiamo utilizzare la funzionalità

Data Export per esportare il nostro database e

scaricarne una copia sul nostro computer.

Fonte immagine dev.mysql.com


2. Backup «manuali»

ATTENZIONE:Se non siete assolutamente

sicuri di quello che fate, non improvvisate, perché

potreste fare danni.

CONSIGLIO:Per i backup manuali affidiamoci al nostro Developer, sistemista o tecnico informatico di fiducia


3. Backup «automatici»

Come si fanno i backup automatici?

Semplice!

Installando sul nostro sito WordPress i Plugin che hanno questa funzionalità.


3. Backup «automatici» - W i Plugin!

Quali scegliere?Ce ne sono numerosi e

praticamente si equivalgono.

È importante scegliere quelli che fanno al caso nostro.


3. Backup «automatici» - Quali Plugin? Dipende!

Chiediamoci:COSA e COME

vogliamo fare questo Backup?

• Riceverlo via email?• Salvarlo sul nostro

Cloud?• Che risieda sullo spazio

web?


3. Backup «automatici» - Plugin: Backup via email

Riceverlo via email?Ottimo!

Esistono Plugin che inviano:

i file .sql o .zip del databaseo una notifica del backup completo (database e file) da scaricare dall’area di amministrazione del sito.


3. Backup «automatici» - Plugin: Backup su Cloud

Salvarlo sul Cloud?Ottimo!

Esistono Plugin che, una volta collegati al nostro

cloud, consentono

di salvare i file del sito WordPress e del database direttamente su:DropBoxDriveAmazone molti altri servizi cloud.


3. Backup «automatici» - Plugin: Backup sul server

Una copia di backup sullo spazio web?

Ottimo!

Esistono Plugin che consentono

di salvare i file del sito WordPress e del database direttamente in una cartella sul server.


3. Backup «automatici» - Plugin per tutti i gusti!

Una volta scelto il metodo che preferiamo dobbiamo

solo iniziare!

Vediamo alcuni Plugin di esempio e come si comportano.


3. Backup «automatici» - Plugin WP All Backup

Invia una notifica email dell’avvenuto backup

Lo salva sullo spazio webConsente di collegare il

nostro cloud(DropBox, Drive, ecc..)

Fonte immagine wordpress.org/plugins/wp-all-backup/


3. Backup «automatici» - Plugin All in One WPSecurity & FirewallInvia una notifica email

dell’avvenuto backup del Database

Fonte immagine wordpress.org/plugins/all-in-one-wp-security-and-firewall/


3. Backup «automatici» - Plugin BackWPup WordPress Backup PluginEsegue il backup di

database e fileInviandolo via email oppure

salvandolo su:Server, Dropbox, Google

Drive, Microsoft Azure, Amazon Glacier

Fonte immagine wordpress.org/plugins/ backwpup/


Ricapitolando

È possibile fare backup utilizzando i SERVIZI del

nostro PROVIDER

Acquistando:• Servizio di backup dello

spazio web• Servizio di backup del

database


Ricapitolando

È possibile fare backup utilizzando gli strumenti

presenti nelPANNELLO DI CONTROLLO

Utilizzando:• «FILE MANAGER» per i

file• «DATABASE

MANAGER» per il database


Ricapitolando

È possibile fare backup utilizzando i programmi

installati sui nostri computer

Utilizzando:• «FileZilla» per i file• «MySQL» per il database


Ricapitolando

È possibile fare backup utilizzando i Plugin di

WordPress

Scegliendo:• Backup con notifica

email• Salvataggio sul cloud• Salvataggio sul server


Quindi

Fate i backup… … e niente scuse!

L’importanza degli Aggiornamenti:WordPress + Plugin + Theme

A cosa servono gli aggiornamenti?

Gli aggiornamenti servono ad apportare migliorie e a

risolvere i «bug» (difetti/malfunzionamenti)

del CMS, Plugin o Tema.

Vanno a sovrascrivere il codice (php, html, javascript, css) e il linguaggio SQL esistente.


Quando farli?

Vanno sempre fatti!

Quando esce un nuovo aggiornamento del Core di

WordPress devo aggiornare subito?

Dipende!È bene verificare che per i Temi e i Plugin presenti sul sito WordPress siano stati rilasciati aggiornamenti compatibili con l’ultima versione del CMS.


Plugin e Temi sono compatibili con l’ultima versione di WordPress?Se Sì

Aggiorniamo pure, ma con le dovute precauzioni

(Backup!!!)

Se NO

Aspettiamo il rilascio degli aggiornamenti e verifichiamo i problemi sui forum di supporto di WordPress, Plugin e Temi.


Cosa fare prima di aggiornare?

Provate a indovinare?

BACKUP!!!

Dei file e del database.

Avere un backup completo ci consente di ripristinare il sito funzionante, senza perdere tutto il lavoro fatto.


Aggiornamento di un Tema

Attenzione!Verifichiamo che le

personalizzazioni grafiche presenti del foglio di stile

(style.css)siano state fatte…

• su un tema Child appositamente creato o installato

• nella sezione dedicata nelle Opzioni del Tema


Aggiornamento di un Tema

Se così non fosse e le modifiche fossero state

apportate al core del Tema

potremmo rischiare di perdere le nostre personalizzazioni.


Perché aggiornare?

Perché se non aggiorniamo spesso, gli HACKER

possono sfruttare le falle nel sistema, che sono state risolte negli aggiornamenti,

per violare il nostro sito.

Infatti spesso mandano delle «stringhe di codice dannose» a minare la sicurezza del nostro sito web.Non facciamoci cogliere impreparati!


Ricapitolando

Gli aggiornamenti vanno sempre fatti, verificando la

compatibilità dei Plugin edei Temi.

Prima di aggiornare effettuare SEMPREIl BACKUP COMPLETO!

I Plugin per la Sicurezza

A cosa servono e perché installarli?

A prevenire attacchi che potrebbero danneggiare il

nostro sito web.

Meglio se coadiuvati da un pacchetto di sicurezza di base sul nostro hosting.


Quali scegliere?

Esistono molti Plugin che possono soddisfare le

esigenze del nostro sito.

Vediamo 3 esempi nelle prossime slide.


Funzionalità del Plugin: Wordfence Security

FirewallLogin Security

Scansione dei fileBlocco attacco Hacking

Monitoraggio traffico e DNS

Fonte immagine wordpress.org/plugins/wordfence/


Funzionalità del Plugin: All In One WP Security & Firewall

Firewall AntispamLogin Security

Scansione e controllo filePrevenzione Brute Force

Personalizzazione .htaccess



Funzionalità del Plugin: Security, Antivirus, Firewall-S.A.F

Protezione Brute force Antivirus e Antispam

Scansione file e malwareProtezione attacchi al

backendIdentificazione di plugin e

temi vulnerabili



Ricapitolando

Grazie al costante aggiornamento dei

«Security Plugin» di WordPress…

… abbiamo solo l’imbarazzo della scelta per la sicurezza del nostro sito!

Esempi di configurazione

All in One WP Security & Firewall

Vediamo velocemente la configurazione di uno dei

plugin citati.

Dalle funzionalità più semplici a quelle più complesse.


La Bacheca fornisce a colpo d’occhio la situazione del livello di sicurezza del nostro sito.

Riepiloga:• Le Informazioni di Sistema, del sito,

del Php info e dei Plugin Attivi• Eventuali indirizzi IP bloccati• File di Log del Plugin



Le Impostazioni servono a:• Eventualmente disabilitare alcune

funzioni di sicurezza e le regole del firewall

• Abilitare funzionalità di debug• Fare un backup dei file .htaccess e

wp-config.php• Importare ed Esportare le

configurazioni del Plugin da un sito WordPress all’altro.



La sezione Account Utente fornisce:• Informazioni sui nomi utente degli

amministratori e in caso di presenza di un utente «Admin» lo segnala

• Come vengono visualizzati i nomi utente e se è il caso di modificarli

• Lo strumento di verifica della sicurezza della password



La sezione Login Utente consente di bloccare l’accesso dopo un numero di tentativi prestabilito e di bloccare gli utenti inesistenti.Possiamo farci inviare una notifica email in caso di attacchi ripetuti.



La sezione Registrazione Utenti consente:• Di attivare la registrazione manuale

degli utenti• Impostare i Captcha nel modulo di

registrazione



La sezione Sicurezza Database consente:• Di cambiare il prefisso delle tabelle

in caso fosse impostato come «wp_»

• Impostare i backup automatici del database con invio di una notifica email con file sql in allegato



La sezione Sicurezza File di Sistema consente:• Fare delle «Azioni Raccomandate»• Impostare correttamente i

permessi sul server• Impedire la modifica dei file PHP• Impedire l’accesso ai file di

installazione



La sezione Gestione Blacklistconsente:• Attivare una «lista nera» di indirizzi

IP e User Agent Bannati



La sezione Firewall consente di:• Impostare regole firewall di base e

aggiuntive• Impostare le regole di protezione di

sicurezza del firewall 6G (o 5G) progettati e realizzati da PerishablePress

• Bloccare i falsi Google Boot• Prevenire l’hotlinking delle

immagini• Personalizzare il file .htaccess

bloccando ad esempio i referraldannosi



La sezione Brute Force consente di:• Rinominare la Pagina di Login• Proteggere la pagina di login da

attacchi• Inserire i Captcha nella Pagina di

Login• Avere una «lista bianca» di indirizzi

IP a cui consentire l’accesso• aggiungere un particolare campo

nascosto «honeypot» visibile solo ai robot e quindi individuare una pratica dannosa sul sito



La sezione Spam consente di:• Attivare i captcha sul modulo dei

commenti• Prevenire commenti Spam• Monitorare gli IP Spam e bloccarli



La sezione Scanner consente di:• Rilevare modifiche sui file, quindi di

monitorare sempre il sito in caso di inserimento di stringhe dannose nel codice


WordPress SecurityConclusioni

Adesso che abbiamo le nozioni e conosciamo le procedure e i plugin che

possono aiutarci a mantenere più sicuro il

nostro sito…

… dobbiamo metterle in pratica e non ci sono più scuse per «rimandare a domani quello che può essere messo in sicurezza oggi»

Grazie

…per aver ascoltato il mio intervento…

… e per avermi dato l’opportunità di esporlo

Contatti

[email protected]/SilviaCarielloConsulenteInformaticowww.linkedin.com/in/silviacariello

wordpress security regole e plugin base per evitare l'hacking del vostro sito - wordcamp milano...

Technology