SlideShare a Scribd company logo

La sicurezza di WordPress per non sparire da Google

Sean Carlos, profile picture
Sean Carlos

Il documento fornisce consigli su come aumentare la sicurezza di un sito WordPress. Vengono suggerite pratiche come l'aggiornamento regolare del software, la modifica dell'account amministratore predefinito e la protezione della directory dei plugin. Si consiglia inoltre di utilizzare strumenti di scansione della sicurezza e di gestire correttamente eventuali penalizzazioni da parte di Google.

Technology
1 of 38
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
                La sicurezza di WordPress per non sparire da . Sean Carlos WordCamp Milano 22 maggio 2010 ©2010 Sean Carlos 1/19
.edu ??? .edu ??? ©2010 Sean Carlos 2/19
Lo Spam: Il Prosciutto Inscatolato ©2010 Sean Carlos 3/19
Lo spam: Lo sketch dei Monty Python ©2010 Sean Carlos 4/19
Il problema Il Contesto ©2010 Sean Carlos 5/19
N uo vo ! Utilizza una versione recente  di WordPress ©2010 Sean Carlos 6/19
Conosci i tuoi plugin (estensioni) Conosci i tuoi plugin (estensioni) ©2010 Sean Carlos 7/19
admin Cambia l'account dell'amministratore  dall'impostazione predefinita “admin” ©2010 Sean Carlos 8/19
Proteggi la tua interfaccia di  amministrazione WordPress con una  password a livello del server ©2010 Sean Carlos 9/19
WP Prefix Changer Rinomina le tabelle del tuo  database WordPress ©2010 Sean Carlos 10/19
/wp­content/plugins Nascondi agli occhi indiscreti la tua  directory di plugin Nascondi agli occhi indiscreti la  tua directory di plugin ©2010 Sean Carlos 11/19
2.9 Rimuovi le informazioni sulla versione  di WordPress e di eventuali plugin ©2010 Sean Carlos 12/19
La segnalazione di errori php La segnalazione di errori php ©2010 Sean Carlos 13/19
WP Security Scan Scansione sicurezza WordPress Scansione sicurezza WordPress ©2010 Sean Carlos 14/19
Il tuo blog è sparito da Google? ©2010 Sean Carlos 15/19
http://www.amazon.co.uk/Hacking­Exposed­Sixth­Security­Solutions/dp/0071613749/antezeta­21 ©2010 Sean Carlos 16/19
L'articolo e la presentazione di Wolly http://www.slideshare.net/wolly/wordpress­sicuro ©2010 Sean Carlos 17/19
Domande  & risposte ! zie ra ©2010 Sean Carlos 18/19 G
Contattateci ● E­Mail ● Telefono         02 69 000 333 ● Web        www.antezeta.it/blog             sean­carlos               @sean_it (ITA) @seancarlos (ENG) ! zie ra ©2010 Sean Carlos 19/19 G
                    La sicurezza di WordPress per non sparire da . Sean Carlos WordCamp Milano 22 maggio 2010 ©2010 Sean Carlos 1/19 Le slide sono derivate da un articolo sulla  sicurezza per un blog WordPress.  
    .edu ??? .edu ??? ©2010 Sean Carlos 2/19  
    Lo Spam: Il Prosciutto Inscatolato ©2010 Sean Carlos 3/19  
    Lo spam: Lo sketch dei Monty Python ©2010 Sean Carlos 4/19  
    Il problema Il Contesto ©2010 Sean Carlos 5/19  
    N uo vo ! Utilizza una versione recente  di WordPress ©2010 Sean Carlos 6/19 Quasi tutti i software contengono errori o bug  che vengono corretti col passare del tempo. In  generale, mantenere la tua installazione  WordPress aggiornata è un ottimo modo per  evitare problemi conosciuti. È da notare che la  versione più recente, in particolare nel caso di  aggiornamenti importanti, può causare più  problemi che risolverli. Quindi, tieni WordPress  aggiornato, ma lascia che altri lo facciano  prima! Notizie sui rilasci ufficiali di WordPress  sono fornite dal feed nel tuo cruscotto  WordPress; è inoltre possibile aggiungere  questo feed dagli sviluppatori WordPress al tuo  lettore di feed RSS.  
    Conosci i tuoi plugin (estensioni) Conosci i tuoi plugin (estensioni) ©2010 Sean Carlos 7/19 Plugin sviluppati da terze parti consentono un  accesso significativo al tuo blog, il che rende  indispensabile che tu ti fidi dell’autore di  qualsiasi plugin installato – o aggiornato. Alcuni  plugin sono indicati di seguito – non posso  garantire per l’affidabilità delle attuali versioni:  puoi utilizzarli a tuo rischio Image: Holger Zscheyge CC Attribution 2.0  Generic  http://www.flickr.com/photos/zscheyge/49012 397/  
    admin Cambia l'account dell'amministratore  dall'impostazione predefinita “admin” ©2010 Sean Carlos 8/19 Ogni hacker sa che WordPress ha un utente  admin che gode dei privilegi  dell’amministrazione come fosse un dio.  Rimuovi l’utente admin per rallentare gli  hacker. Crea un utente WordPress con i  privilegi di amministratore utilizzando  l’interfaccia di amministrazione. Esci da  WordPress ed accedi nuovamente come  nuovo utente. Cancella l’utente admin. Il  nuovo utente amministratore dovrebbe essere  diverso da quello che normalmente scrive  post, cioè non visibile nei post.  
    Proteggi la tua interfaccia di  amministrazione WordPress con una  password a livello del server ©2010 Sean Carlos 9/19 Il nostro obiettivo è quello di aggiungere un  ulteriore livello di sicurezza all’amministrazione  WordPress. Gli utenti su Apache dovrebbero  fare riferimento alla  documentazione sull’autenticazione o  prendere in considerazione una plugin  WordPress. Gli utenti IIS potrebbero trovare  queste istruzioni utili.  
    WP Prefix Changer Rinomina le tabelle del tuo  database WordPress ©2010 Sean Carlos 10/19 Gli attacchi da parte degli Hacker che sfruttano  il tuo database generalmente richiedono la  conoscenza dei nomi delle tabelle nel  database. WordPress consente nomi alternativi  per le tabelle del database. Ci sono diversi  plugin per definire il prefisso delle tabelle che  faranno questo per te, oppure è possibile  seguire le istruzioni manuali. Nota che si  possono avere problemi con le estensioni  (plugin) scritti male se non si riconosce il valore  del prefisso delle tabelle. Foto: terren in Virginia; CC Attribution 2.0  Generic  http://www.flickr.com/photos/8136496@N05/180 6968708/  
    /wp­content/plugins Nascondi agli occhi indiscreti la tua  directory di plugin Nascondi agli occhi indiscreti la  tua directory di plugin ©2010 Sean Carlos 11/19 In molte installazioni WordPress è possibile  visualizzare un elenco dei plugin installati,  navigando alla directory /wp­content/plugins/.  Tale trasparenza non è consigliata, visto che  vulnerabilità note nei plugin possono essere  facilmente sfruttate. Aggiungi un file vuoto  come indice, tipo index.html, nella directory. È  inoltre possibile proteggerlo con un file  .htaccess nel caso tu stia impiegando Apache  come server. Foto practicalowl CC Attribution­ NonCommercial­ShareAlike 2.0 Generic  http://www.flickr.com/photos/practicalowl/31 4989744/  
    2.9 Rimuovi le informazioni sulla versione  di WordPress e di eventuali plugin ©2010 Sean Carlos 12/19 Dichiarando al mondo la versione WordPress  che giri, semplifichi notevolmente il lavoro ad  un hacker. In un post Peter Westwood ha  documentato come fare per sopprimere  informazioni sulla versione di WordPress nei  feed e nel blog. Ho confezionato il suo codice  in una maniera molto rudimentale come un  plugin WordPress per nascondere la versione di  WordPress. Nei theme più vecchi sarà ancora  necessario rimuovere una riga simile a questa: <meta name="generator" content="WordPress  <?php bloginfo('version'); ?>" /> <!­­ leave this  for stats ­­>  
    La segnalazione di errori php La segnalazione di errori php ©2010 Sean Carlos 13/19 “Se qualcosa prende la forma di una pera”  come dicono gli inglesi (cioè, va storto),  WordPress ed i suoi plugin possono far  visualizzare codici di errori php. In un ambiente  di produzione si dovrebbero sopprimere gli  errori. Consulta la documentazione per la  segnalazione di errori php per una discussione  più approfondita. Foto: rubenerd CC Attribution­NonCommercial  2.0 Generic http://www.flickr.com/photos/rubenerd/1740916 665/sizes/o/  
    WP Security Scan Scansione sicurezza WordPress Scansione sicurezza WordPress ©2010 Sean Carlos 14/19 Il plugin WP Security Scan fa un controllo del tuo  blog in merito alla sicurezza e tenta di attuare  molti dei suggerimenti indicati in questo  articolo. Blogsecurity.net offre un’alternativa  plugin di scansione. Foto: utnapistim CC Attribution­NonCommercial  2.0 Generic  http://www.flickr.com/photos/utnapistim/2002 24886/  
    Il tuo blog è sparito da Google? ©2010 Sean Carlos 15/19 Se Google ha penalizzato il tuo sito, il problema  principale consiste nel sistemare il sito.  Identificare il problema che ha turbato Google  ed assicurarsi che venga rimosso. Evita la  tentazione di aggiornare alla cieca i tuoi  plugin, WordPress, o il tema. Il problema può  persistere! Se il tuo blog si comporta bene, puoi prendere in  considerazione l’iscrizione agli strumenti  Google per i webmaster e fare una richiesta di  re­inclusione – una richiesta concisa risulta  vincente: cosa è successo e come è stato  sistemato. Se il tuo problema rientra in uno di  quelli comunemente diffusi, se non dipende  da te ed il tuo blog ha avuto finora un buon  rapporto con Google, sono disposto a    scommettere che Google ripristinerà in 
    http://www.amazon.co.uk/Hacking­Exposed­Sixth­Security­Solutions/dp/0071613749/antezeta­21 ©2010 Sean Carlos 16/19  
    L'articolo e la presentazione di Wolly http://www.slideshare.net/wolly/wordpress­sicuro ©2010 Sean Carlos 17/19  
    Domande  & risposte ! zie ra ©2010 Sean Carlos 18/19 G Foto: laurakgibbs CC Attribution 2.0 Generic  http://www.flickr.com/photos/38299630@N05/ 3635356091/  
    Contattateci ● E­Mail ● Telefono         02 69 000 333 ● Web        www.antezeta.it/blog             sean­carlos               @sean_it (ITA) @seancarlos (ENG) ! ie z ra ©2010 Sean Carlos 19/19 G Immagine: CC Attribution­No Derivative Works  2.0 Generic 2010­04­05  http://www.flickr.com/photos/11806855@N02/ 2523960245  

More Related Content

PPTX
14. I blog
Roberto Polillo
 
ODP
WordPress Plugins
Serafino Corriero
 
PPTX
Internet e personal branding
Francesco Vernelli
 
PPT
1. Introduzione al corso
Roberto Polillo
 
PPTX
15. La forma breve e il microblogging
Roberto Polillo
 
PPTX
20. Social networks
Roberto Polillo
 
PPT
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Luca Silva
 
PPT
Da grande voglio fare il blogger! n.1 @Roverbella
Valentina Tosi
 
14. I blog
Roberto Polillo
 
WordPress Plugins
Serafino Corriero
 
Internet e personal branding
Francesco Vernelli
 
1. Introduzione al corso
Roberto Polillo
 
15. La forma breve e il microblogging
Roberto Polillo
 
20. Social networks
Roberto Polillo
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Luca Silva
 
Da grande voglio fare il blogger! n.1 @Roverbella
Valentina Tosi
 

More from Sean Carlos (9)

PDF
Trends in Mobile Search - SMX Milan 2013
Sean Carlos
 
PDF
Considerations for Adding Social Media to the MarCom Mix - SMX Milan 2013
Sean Carlos
 
PDF
Si può sintetizzare l'influenza sociale con un punteggio?
Sean Carlos
 
PDF
Schema.org und Rich Snippets
Sean Carlos
 
PDF
WordPress Security for SEO & More
Sean Carlos
 
PDF
Do Not Track & Search Engine Marketing
Sean Carlos
 
PDF
La visibilità in Google: perché preoccuparsene (e cosa si dovrebbe fare)?
Sean Carlos
 
PDF
Yahoo Search Marketing Tools at Risk with Microsoft-Yahoo Agreement
Sean Carlos
 
PDF
SMX West 2010: SEO Domain & URL Strategies for International Websites
Sean Carlos
 
Trends in Mobile Search - SMX Milan 2013
Sean Carlos
 
Considerations for Adding Social Media to the MarCom Mix - SMX Milan 2013
Sean Carlos
 
Si può sintetizzare l'influenza sociale con un punteggio?
Sean Carlos
 
Schema.org und Rich Snippets
Sean Carlos
 
WordPress Security for SEO & More
Sean Carlos
 
Do Not Track & Search Engine Marketing
Sean Carlos
 
La visibilità in Google: perché preoccuparsene (e cosa si dovrebbe fare)?
Sean Carlos
 
Yahoo Search Marketing Tools at Risk with Microsoft-Yahoo Agreement
Sean Carlos
 
SMX West 2010: SEO Domain & URL Strategies for International Websites
Sean Carlos
 
Ad

La sicurezza di WordPress per non sparire da Google

  • 1.                 La sicurezza di WordPress per non sparire da . Sean Carlos WordCamp Milano 22 maggio 2010 ©2010 Sean Carlos 1/19
  • 2. .edu ??? .edu ??? ©2010 Sean Carlos 2/19
  • 3. Lo Spam: Il Prosciutto Inscatolato ©2010 Sean Carlos 3/19
  • 4. Lo spam: Lo sketch dei Monty Python ©2010 Sean Carlos 4/19
  • 5. Il problema Il Contesto ©2010 Sean Carlos 5/19
  • 6. N uo vo ! Utilizza una versione recente  di WordPress ©2010 Sean Carlos 6/19
  • 15. Il tuo blog è sparito da Google? ©2010 Sean Carlos 15/19
  • 17. L'articolo e la presentazione di Wolly http://www.slideshare.net/wolly/wordpress­sicuro ©2010 Sean Carlos 17/19
  • 18. Domande  & risposte ! zie ra ©2010 Sean Carlos 18/19 G
  • 19. Contattateci ● E­Mail ● Telefono         02 69 000 333 ● Web        www.antezeta.it/blog             sean­carlos               @sean_it (ITA) @seancarlos (ENG) ! zie ra ©2010 Sean Carlos 19/19 G
  • 20.                     La sicurezza di WordPress per non sparire da . Sean Carlos WordCamp Milano 22 maggio 2010 ©2010 Sean Carlos 1/19 Le slide sono derivate da un articolo sulla  sicurezza per un blog WordPress.  
  • 21.     .edu ??? .edu ??? ©2010 Sean Carlos 2/19  
  • 22.     Lo Spam: Il Prosciutto Inscatolato ©2010 Sean Carlos 3/19  
  • 23.     Lo spam: Lo sketch dei Monty Python ©2010 Sean Carlos 4/19  
  • 24.     Il problema Il Contesto ©2010 Sean Carlos 5/19  
  • 25.     N uo vo ! Utilizza una versione recente  di WordPress ©2010 Sean Carlos 6/19 Quasi tutti i software contengono errori o bug  che vengono corretti col passare del tempo. In  generale, mantenere la tua installazione  WordPress aggiornata è un ottimo modo per  evitare problemi conosciuti. È da notare che la  versione più recente, in particolare nel caso di  aggiornamenti importanti, può causare più  problemi che risolverli. Quindi, tieni WordPress  aggiornato, ma lascia che altri lo facciano  prima! Notizie sui rilasci ufficiali di WordPress  sono fornite dal feed nel tuo cruscotto  WordPress; è inoltre possibile aggiungere  questo feed dagli sviluppatori WordPress al tuo  lettore di feed RSS.  
  • 26.     Conosci i tuoi plugin (estensioni) Conosci i tuoi plugin (estensioni) ©2010 Sean Carlos 7/19 Plugin sviluppati da terze parti consentono un  accesso significativo al tuo blog, il che rende  indispensabile che tu ti fidi dell’autore di  qualsiasi plugin installato – o aggiornato. Alcuni  plugin sono indicati di seguito – non posso  garantire per l’affidabilità delle attuali versioni:  puoi utilizzarli a tuo rischio Image: Holger Zscheyge CC Attribution 2.0  Generic  http://www.flickr.com/photos/zscheyge/49012 397/  
  • 27.     admin Cambia l'account dell'amministratore  dall'impostazione predefinita “admin” ©2010 Sean Carlos 8/19 Ogni hacker sa che WordPress ha un utente  admin che gode dei privilegi  dell’amministrazione come fosse un dio.  Rimuovi l’utente admin per rallentare gli  hacker. Crea un utente WordPress con i  privilegi di amministratore utilizzando  l’interfaccia di amministrazione. Esci da  WordPress ed accedi nuovamente come  nuovo utente. Cancella l’utente admin. Il  nuovo utente amministratore dovrebbe essere  diverso da quello che normalmente scrive  post, cioè non visibile nei post.  
  • 28.     Proteggi la tua interfaccia di  amministrazione WordPress con una  password a livello del server ©2010 Sean Carlos 9/19 Il nostro obiettivo è quello di aggiungere un  ulteriore livello di sicurezza all’amministrazione  WordPress. Gli utenti su Apache dovrebbero  fare riferimento alla  documentazione sull’autenticazione o  prendere in considerazione una plugin  WordPress. Gli utenti IIS potrebbero trovare  queste istruzioni utili.  
  • 29.     WP Prefix Changer Rinomina le tabelle del tuo  database WordPress ©2010 Sean Carlos 10/19 Gli attacchi da parte degli Hacker che sfruttano  il tuo database generalmente richiedono la  conoscenza dei nomi delle tabelle nel  database. WordPress consente nomi alternativi  per le tabelle del database. Ci sono diversi  plugin per definire il prefisso delle tabelle che  faranno questo per te, oppure è possibile  seguire le istruzioni manuali. Nota che si  possono avere problemi con le estensioni  (plugin) scritti male se non si riconosce il valore  del prefisso delle tabelle. Foto: terren in Virginia; CC Attribution 2.0  Generic  http://www.flickr.com/photos/8136496@N05/180 6968708/  
  • 30.     /wp­content/plugins Nascondi agli occhi indiscreti la tua  directory di plugin Nascondi agli occhi indiscreti la  tua directory di plugin ©2010 Sean Carlos 11/19 In molte installazioni WordPress è possibile  visualizzare un elenco dei plugin installati,  navigando alla directory /wp­content/plugins/.  Tale trasparenza non è consigliata, visto che  vulnerabilità note nei plugin possono essere  facilmente sfruttate. Aggiungi un file vuoto  come indice, tipo index.html, nella directory. È  inoltre possibile proteggerlo con un file  .htaccess nel caso tu stia impiegando Apache  come server. Foto practicalowl CC Attribution­ NonCommercial­ShareAlike 2.0 Generic  http://www.flickr.com/photos/practicalowl/31 4989744/  
  • 31.     2.9 Rimuovi le informazioni sulla versione  di WordPress e di eventuali plugin ©2010 Sean Carlos 12/19 Dichiarando al mondo la versione WordPress  che giri, semplifichi notevolmente il lavoro ad  un hacker. In un post Peter Westwood ha  documentato come fare per sopprimere  informazioni sulla versione di WordPress nei  feed e nel blog. Ho confezionato il suo codice  in una maniera molto rudimentale come un  plugin WordPress per nascondere la versione di  WordPress. Nei theme più vecchi sarà ancora  necessario rimuovere una riga simile a questa: <meta name="generator" content="WordPress  <?php bloginfo('version'); ?>" /> <!­­ leave this  for stats ­­>  
  • 32.     La segnalazione di errori php La segnalazione di errori php ©2010 Sean Carlos 13/19 “Se qualcosa prende la forma di una pera”  come dicono gli inglesi (cioè, va storto),  WordPress ed i suoi plugin possono far  visualizzare codici di errori php. In un ambiente  di produzione si dovrebbero sopprimere gli  errori. Consulta la documentazione per la  segnalazione di errori php per una discussione  più approfondita. Foto: rubenerd CC Attribution­NonCommercial  2.0 Generic http://www.flickr.com/photos/rubenerd/1740916 665/sizes/o/  
  • 33.     WP Security Scan Scansione sicurezza WordPress Scansione sicurezza WordPress ©2010 Sean Carlos 14/19 Il plugin WP Security Scan fa un controllo del tuo  blog in merito alla sicurezza e tenta di attuare  molti dei suggerimenti indicati in questo  articolo. Blogsecurity.net offre un’alternativa  plugin di scansione. Foto: utnapistim CC Attribution­NonCommercial  2.0 Generic  http://www.flickr.com/photos/utnapistim/2002 24886/  
  • 34.     Il tuo blog è sparito da Google? ©2010 Sean Carlos 15/19 Se Google ha penalizzato il tuo sito, il problema  principale consiste nel sistemare il sito.  Identificare il problema che ha turbato Google  ed assicurarsi che venga rimosso. Evita la  tentazione di aggiornare alla cieca i tuoi  plugin, WordPress, o il tema. Il problema può  persistere! Se il tuo blog si comporta bene, puoi prendere in  considerazione l’iscrizione agli strumenti  Google per i webmaster e fare una richiesta di  re­inclusione – una richiesta concisa risulta  vincente: cosa è successo e come è stato  sistemato. Se il tuo problema rientra in uno di  quelli comunemente diffusi, se non dipende  da te ed il tuo blog ha avuto finora un buon  rapporto con Google, sono disposto a    scommettere che Google ripristinerà in 
  • 35.     http://www.amazon.co.uk/Hacking­Exposed­Sixth­Security­Solutions/dp/0071613749/antezeta­21 ©2010 Sean Carlos 16/19  
  • 36.     L'articolo e la presentazione di Wolly http://www.slideshare.net/wolly/wordpress­sicuro ©2010 Sean Carlos 17/19  
  • 37.     Domande  & risposte ! zie ra ©2010 Sean Carlos 18/19 G Foto: laurakgibbs CC Attribution 2.0 Generic  http://www.flickr.com/photos/38299630@N05/ 3635356091/  
  • 38.     Contattateci ● E­Mail ● Telefono         02 69 000 333 ● Web        www.antezeta.it/blog             sean­carlos               @sean_it (ITA) @seancarlos (ENG) ! ie z ra ©2010 Sean Carlos 19/19 G Immagine: CC Attribution­No Derivative Works  2.0 Generic 2010­04­05  http://www.flickr.com/photos/11806855@N02/ 2523960245