WordPress alimenta un sorprendente si quantifica circa un terzo di tutti i siti che ci sono nel mondo. Una percentuale che oltretutto sembra anche destinata a crescere. . E sicuramente è il CMS che maggiormente è improntato al SEO. Anche per questo viene attaccato di continuo , in gran parte per ragioni di spam SEO, altri per carpire informazioni o veicolare trojan
Ecco alcuni principi fondamentali di WordPress e modi per garantire la sicurezza del tuo sito WordPress.
WordPress è sicuro?
L’ultima versione di WordPress è molto sicura e pronta all’uso. Trascurare di aggiornarlo, tuttavia, tra le altre cose, può renderlo sia pericoloso che instabile . Questo è il motivo per cui molti professionisti e sviluppatori della sicurezza non vedono di buon occhio questo CMS . Infatti WordPress assomiglia anche al famoso modo di programmare codice a spaghetti PHP che oltretutto è insicuro. Gli stessi inventori di WordPress comprende che le vulnerabilità “derivano dalle parti estendibili della piattaforma, vedi parti esterne come plugins e temi.
Aggiornamenti di WordPress
Non esiste un sistema sicuro al 100% nè nella vita e quindi tantomeno in informatica e quindi il sistema necessita di aggiornamenti di sicurezza per operare in sicurezza e tali aggiornamenti non dovrebbero influire negativamente su di te. Attiva gli aggiornamenti automatici di sicurezza direttameente da Jetpack. L’aggiornamento del core di WordPress, tuttavia, richiede che tu ti assicuri che tutto sia compatibile. Aggiorna plugin e temi non appena sono disponibili versioni compatibili. E solamente dopo effettua l’aggiornamento
Open source
WordPress è ovviamente un ‘applicazione open source, questo non necessriamente è solamente un bene. Il progetto trae vantaggio da una comunità di sviluppatori che contribuisce al codice per il core, il nucleo del team patch i difetti di sicurezza trovati dalla comunità, mentre gli hacker scoprono i modi per trovare le falle del sistema. Le vulnerabilità vengono sottoposte a script in scansioni da applicazioni di exploit in grado di rilevare queste tematiche e risolverle prontamente
Prima cosa la protezione.
Ci sono cose che puoi fare per proteggerti anche quando non hai un ruolo di amministratore. Assicurati di lavorare su una rete sicura con una workstation regolarmente scansionata. Blocca gli annunci per prevenire attacchi sofisticati che si possano mascherare in software presunti amici o immagini . Usa VPN per la crittografia del tipo end-to-end ogni volta che lavori su hotspot WiFi pubblici per prevenire attacchi di tipo hijaack
Password sicure
La gestione sicura delle password è importante indipendentemente dal ruolo che hai. Assicurati che la tua password sia unica e abbastanza lunga e possibilmente cambiala con una certa regolarità. Combinazioni di numeri e lettere non sono abbastanza sicure, anche con la punteggiatura, quando le password non sono abbastanza lunghe. Hai bisogno di password lunghe. Usa frasi di quattro o cinque parole che siano combinate insieme . Oppure meglio ancora ricorri a dei tool automatici in rete che generano psw sicure. . Anche la lunghezza è importante. Assicurati che la lughezza minima sia di almeno otto caratteri
Amministratori
Se hai un ruolo utente amministratore, crea un nuovo utente che è limitato a un ruolo di editor. Inizia a utilizzare il nuovo profilo anziché l’amministratore. In questo modo, gli attacchi su vasta area saranno incentrati sull’attacco delle credenziali del ruolo di editor e, se la tua sessione viene dirottata, hai la capacità dell’amministratore di modificare le password e di rimuovere il controllo dagli intrusi. Costringere tutti, magari attraverso l’uso di un plug-in, a seguire una politica di password complessa.
Politica di sicurezza
Se hai esperienza di sicurezza, esegui audit di codice dei tuoi plugin e temi (ovviamente). Stabilire un principio di minima sicurezza a cui tutti devono obbligatoriamente adempiere. Per esempio minimo sei lettere per il codice, alfanumerico, alfabetico con punteggiatura. . Questo per costringere gli hacker a eseguire trucchi con le shell e l’escalation dei privilegi che prevede l’attacco a bersagli diversi dalle credenziali di WordPress.
Cambia le autorizzazioni del file
Se controlli l’host, procurati un account SFTP ( Secure FTP) attraverso l’uso del Pannello di controllo del tuo CMS , se ne hai uno, oppure prova con qualche interfaccia utente di amministratore a cui hai accesso. Tutto questo potrebbe avere l’effetto collaterale della configurazione delle credenziali per aprire una finestra terminale sicura della shell comunemente chiamate SSH. In questo modo è possibile eseguire misure di sicurezza aggiuntive utilizzando le utilità di sistema. Nel caso comunque in questo passaggio fatevi aiutare da un professionista.
Blocca i file critici
Ci sono alcuni file a cui non si dovrebbe mai accedere se non con il processo PHP che esegue WordPress. Puoi modificare i permessi dei file e modificare il file .htaccess per bloccare ulteriormente questi file. Per cambiare i permessi dei file, usa il tuo client SFTP (se ha l’opzione), oppure apri una finestra della shell del terminale ed esegui il comando chmod utility.
$ chmod 400 .wp-config $ ls -la
WordPress Config File Security
Questa operazione che avete appena eseguito comporta il fatto che solo il processo PHP che esegue WordPress sarà in grado di leggere il file e nient’altro. Quindi da ora in poi il file wp-config.php non potrà più essere risicritta o editato con delle update. Che corrisponde al chmod 700. Con la seguente precisazione ossia
Ti consigliamo di concedere i permessi di scrittura con $ chmod 600 .wp-configquando c’è un importante aggiornamento di WordPress in cui il file di configurazione ha delle modifiche. Ciò dovrebbe accadere estremamente raramente, se mai.
File di accesso di WordPress
Personalmente mi piace bloccare il file wp-login.php usando le regole .htaccess. Limitare l’accesso solo ai miei indirizzi IP è ottimo per quando lavoro con un IP assegnato staticamente o quando in oogni modo utilizzo un range di indirizzi conosciuti. Non è difficile modificare le impostazioni se si effettua il login da un’altra posizione purché sia possibile ottenere una shell sull’host. Per fare questo dovrete semplicemente utilizzare la directory Deny ne seguente modo mostrato qui sotto.
Limite di WordPress Htaccess per IP
XSS e SQL injection
Gli sviluppatori sanno benissimo che i peggiori attacchi sono i CSS o Cross Site XSS e gli SQL injection. Ci sono delle regole di riscrittura delle stringhe di query .htaccess che puoi usare per fermare alcune di queste intrusioni , oppure puoi utilizzare dei pluings . Alcuni plug-in di sicurezza infatti eseguiranno la scansione per vedere se il tuo cms è stato “forato”. Se sai come utilizzare le riscritture, reindirizza o blocca le stringhe di query per gli attacchi che potresti notare dai file di log.
Plugin di sicurezza
Alcuni plug-in di sicurezza eseguiranno la scansione dell’installazione alla ricerca di segnali che comprovino che il vostro sistema è stato perforato. . Ottimo è Wordfense un plugin di sicurezza popolare e viene aggiornato regolarmente. Buono anche Ninja Firewall che cercherà di limitare gli attacchi basati su richieste, bloccandoli prima che raggiungano il core di WordPress. Anche Google si sta muovendo in questa direzione.
Veniamo adesso parlarvi del CMS WordPress e degli attacchi Hacker. Nonostante la distribuzione sia costantemente aggiornata esiste una tipologia di attacchi che la rende vulnerabile ossia quelli d tipo DoS. Leggi ancora…
Vediamo in questo semplice esempio come costruire una slide con le istruzione html e jquery e css. Ovviamente partiremo dall’instanziare il container , il colore e la formattazione del testo. Leggi ancora…
Veniamo adesso ad analizzare l’errore 4040 che si verifica quando tentate di accedere ad una pagina che abbia distruzione CMS WordPress. Di solito è un errore che si verfica quando. Leggi ancora…
Privacy e cookie: Questo sito utilizza cookie. Continuando a utilizzare questo sito web, si accetta l’utilizzo dei cookie.
Per ulteriori informazioni, anche su controllo dei cookie, leggi qui:
Informativa sui cookie
Qui abbiamo creato una guida a lezioni dove vi spieghiamo come creare un blog modello wordpress utilizzando come linguaggio di programmazione il PHP e il database Mysql.
Utilizziamo i cookie sul nostro sito Web per offrirti l'esperienza più pertinente ricordando le tue preferenze e ripetendo le visite. Cliccando su "Accetta" acconsenti all'uso di TUTTI i cookie. Puoi visionare la nostra politica sui Cookie alla Pagina sulla Cookie Policy
. Nella pagina potrai trovare tutti i cookie che il sito utilizza e il trattamento che viene effettuato sui cookie stessi , sul sito dove vengono immagazzinati e sul trattamento a cui sono sottoposti.Per ogni dubbio o approfondimento ti invitiamo a contattarci grazie al nostro modulo di contatto
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi cookie, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito Web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Ma la disattivazione di alcuni di questi cookie potrebbe avere un effetto sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questa categoria include solo i cookie che garantiscono funzionalità di base e caratteristiche di sicurezza del sito web. Questi cookie non memorizzano alcuna informazione personale.
Tutti i cookie che potrebbero non essere particolarmente necessari per il funzionamento del sito Web e vengono utilizzati specificamente per raccogliere dati personali dell\'utente tramite analisi, pubblicità, altri contenuti incorporati sono definiti come cookie non necessari. È obbligatorio ottenere il consenso dell\'utente prima di eseguire questi cookie sul tuo sito web.
Caricamento commenti...
Devi effettuare l'accesso per postare un commento.
%d blogger hanno fatto clic su Mi Piace per questo:
Wordpress Lezione 1 Introduzione al Wordpress
Lezione 2 Differenza Post e Pagine e categorie e tags
Wordpress Lezione 3 I template
Wordpress Lezione 4 I Plugins cosa sono
Wordpress Lezione 1 Introduzione al Wordpress
Lezione 2 Differenza Post e Pagine e categorie e tags
Wordpress Lezione 3 I template
Wordpress Lezione 4 I Plugins cosa sono
Fabrizio S.
Share post:
WordPress alimenta un sorprendente si quantifica circa un terzo di tutti i siti che ci sono nel mondo. Una percentuale che oltretutto sembra anche destinata a crescere. . E sicuramente è il CMS che maggiormente è improntato al SEO. Anche per questo viene attaccato di continuo , in gran parte per ragioni di spam SEO, altri per carpire informazioni o veicolare trojan
Ecco alcuni principi fondamentali di WordPress e modi per garantire la sicurezza del tuo sito WordPress.
WordPress è sicuro?
L’ultima versione di WordPress è molto sicura e pronta all’uso. Trascurare di aggiornarlo, tuttavia, tra le altre cose, può renderlo sia pericoloso che instabile . Questo è il motivo per cui molti professionisti e sviluppatori della sicurezza non vedono di buon occhio questo CMS . Infatti WordPress assomiglia anche al famoso modo di programmare codice a spaghetti PHP che oltretutto è insicuro. Gli stessi inventori di WordPress comprende che le vulnerabilità “derivano dalle parti estendibili della piattaforma, vedi parti esterne come plugins e temi.
Aggiornamenti di WordPress
Non esiste un sistema sicuro al 100% nè nella vita e quindi tantomeno in informatica e quindi il sistema necessita di aggiornamenti di sicurezza per operare in sicurezza e tali aggiornamenti non dovrebbero influire negativamente su di te. Attiva gli aggiornamenti automatici di sicurezza direttameente da Jetpack. L’aggiornamento del core di WordPress, tuttavia, richiede che tu ti assicuri che tutto sia compatibile. Aggiorna plugin e temi non appena sono disponibili versioni compatibili. E solamente dopo effettua l’aggiornamento
Open source
WordPress è ovviamente un ‘applicazione open source, questo non necessriamente è solamente un bene. Il progetto trae vantaggio da una comunità di sviluppatori che contribuisce al codice per il core, il nucleo del team patch i difetti di sicurezza trovati dalla comunità, mentre gli hacker scoprono i modi per trovare le falle del sistema. Le vulnerabilità vengono sottoposte a script in scansioni da applicazioni di exploit in grado di rilevare queste tematiche e risolverle prontamente
Prima cosa la protezione.
Ci sono cose che puoi fare per proteggerti anche quando non hai un ruolo di amministratore. Assicurati di lavorare su una rete sicura con una workstation regolarmente scansionata. Blocca gli annunci per prevenire attacchi sofisticati che si possano mascherare in software presunti amici o immagini . Usa VPN per la crittografia del tipo end-to-end ogni volta che lavori su hotspot WiFi pubblici per prevenire attacchi di tipo hijaack
Password sicure
La gestione sicura delle password è importante indipendentemente dal ruolo che hai. Assicurati che la tua password sia unica e abbastanza lunga e possibilmente cambiala con una certa regolarità. Combinazioni di numeri e lettere non sono abbastanza sicure, anche con la punteggiatura, quando le password non sono abbastanza lunghe. Hai bisogno di password lunghe. Usa frasi di quattro o cinque parole che siano combinate insieme . Oppure meglio ancora ricorri a dei tool automatici in rete che generano psw sicure. . Anche la lunghezza è importante. Assicurati che la lughezza minima sia di almeno otto caratteri
Amministratori
Se hai un ruolo utente amministratore, crea un nuovo utente che è limitato a un ruolo di editor. Inizia a utilizzare il nuovo profilo anziché l’amministratore. In questo modo, gli attacchi su vasta area saranno incentrati sull’attacco delle credenziali del ruolo di editor e, se la tua sessione viene dirottata, hai la capacità dell’amministratore di modificare le password e di rimuovere il controllo dagli intrusi. Costringere tutti, magari attraverso l’uso di un plug-in, a seguire una politica di password complessa.
Politica di sicurezza
Se hai esperienza di sicurezza, esegui audit di codice dei tuoi plugin e temi (ovviamente). Stabilire un principio di minima sicurezza a cui tutti devono obbligatoriamente adempiere. Per esempio minimo sei lettere per il codice, alfanumerico, alfabetico con punteggiatura. . Questo per costringere gli hacker a eseguire trucchi con le shell e l’escalation dei privilegi che prevede l’attacco a bersagli diversi dalle credenziali di WordPress.
Cambia le autorizzazioni del file
Se controlli l’host, procurati un account SFTP ( Secure FTP) attraverso l’uso del Pannello di controllo del tuo CMS , se ne hai uno, oppure prova con qualche interfaccia utente di amministratore a cui hai accesso. Tutto questo potrebbe avere l’effetto collaterale della configurazione delle credenziali per aprire una finestra terminale sicura della shell comunemente chiamate SSH. In questo modo è possibile eseguire misure di sicurezza aggiuntive utilizzando le utilità di sistema. Nel caso comunque in questo passaggio fatevi aiutare da un professionista.
Blocca i file critici
Ci sono alcuni file a cui non si dovrebbe mai accedere se non con il processo PHP che esegue WordPress. Puoi modificare i permessi dei file e modificare il file .htaccess per bloccare ulteriormente questi file. Per cambiare i permessi dei file, usa il tuo client SFTP (se ha l’opzione), oppure apri una finestra della shell del terminale ed esegui il comando chmod utility.
$ chmod 400 .wp-config$ ls -laWordPress Config File Security
Questa operazione che avete appena eseguito comporta il fatto che solo il processo PHP che esegue WordPress sarà in grado di leggere il file e nient’altro. Quindi da ora in poi il file wp-config.php non potrà più essere risicritta o editato con delle update. Che corrisponde al chmod 700. Con la seguente precisazione ossia
Ti consigliamo di concedere i permessi di scrittura con
$ chmod 600 .wp-configquando c’è un importante aggiornamento di WordPress in cui il file di configurazione ha delle modifiche. Ciò dovrebbe accadere estremamente raramente, se mai.File di accesso di WordPress
Personalmente mi piace bloccare il file wp-login.php usando le regole .htaccess. Limitare l’accesso solo ai miei indirizzi IP è ottimo per quando lavoro con un IP assegnato staticamente o quando in oogni modo utilizzo un range di indirizzi conosciuti. Non è difficile modificare le impostazioni se si effettua il login da un’altra posizione purché sia possibile ottenere una shell sull’host. Per fare questo dovrete semplicemente utilizzare la directory Deny ne seguente modo mostrato qui sotto.
Limite di WordPress Htaccess per IP
XSS e SQL injection
Gli sviluppatori sanno benissimo che i peggiori attacchi sono i CSS o Cross Site XSS e gli SQL injection. Ci sono delle regole di riscrittura delle stringhe di query .htaccess che puoi usare per fermare alcune di queste intrusioni , oppure puoi utilizzare dei pluings . Alcuni plug-in di sicurezza infatti eseguiranno la scansione per vedere se il tuo cms è stato “forato”. Se sai come utilizzare le riscritture, reindirizza o blocca le stringhe di query per gli attacchi che potresti notare dai file di log.
Plugin di sicurezza
Alcuni plug-in di sicurezza eseguiranno la scansione dell’installazione alla ricerca di segnali che comprovino che il vostro sistema è stato perforato. . Ottimo è Wordfense un plugin di sicurezza popolare e viene aggiornato regolarmente. Buono anche Ninja Firewall che cercherà di limitare gli attacchi basati su richieste, bloccandoli prima che raggiungano il core di WordPress. Anche Google si sta muovendo in questa direzione.
Condividi:
Mi piace:
Correlati
WordPress Come nascondere il login contro gli attacchi hacker DoS
Veniamo adesso parlarvi del CMS WordPress e degli attacchi Hacker. Nonostante la distribuzione sia costantemente aggiornata esiste una tipologia di attacchi che la rende vulnerabile ossia quelli d tipo DoS. Leggi ancora…
Condividi:
Mi piace:
Continue Reading
Google introduce MUM con il webinar SEO di maggio 2021 per combattere lo SPAM
Google introduce MUM con il webinar SEO di maggio 2021 per combattere lo SPAM
Condividi:
Mi piace:
Continue Reading
Creare una SlideShow con Jquery e CSS
Vediamo in questo semplice esempio come costruire una slide con le istruzione html e jquery e css. Ovviamente partiremo dall’instanziare il container , il colore e la formattazione del testo. Leggi ancora…
Condividi:
Mi piace:
Continue Reading
Errore 404 file non trovato WordPress come risolvere
Veniamo adesso ad analizzare l’errore 4040 che si verifica quando tentate di accedere ad una pagina che abbia distruzione CMS WordPress. Di solito è un errore che si verfica quando. Leggi ancora…
Condividi:
Mi piace:
Continue Reading