COME
LIMITARE
I DANNI
Questa non è una guida per rendere un sito
totalmente immune.
Lo scopo del talk è mettere in evidenza gli
errori più comuni.
Slide 4
Slide 4 text
TIENI WORDPRESS
SEMPRE
AGGIORNATO
Slide 5
Slide 5 text
TIENI
PLUGIN E TEMI
SEMPRE
AGGIORNATI
Slide 6
Slide 6 text
No content
Slide 7
Slide 7 text
LA SCELTA
DELL’HOSTING
• Effettua backup giornalieri di tutti i dati
delle sue macchine?
• Questi backup sono accessibili, oppure
sono utilizzabili solo in caso di guasti
al server?
• Consente l’accesso in SSH e SFTP?
Slide 8
Slide 8 text
UTILIZZA
PASSWORD
COMPLESSE
• Maiuscole, minuscole, numeri e
caratteri speciali
• Per ricordarle più facilmente,
puoi tenere in considerazione
software per la memorizzazione
delle password
Slide 9
Slide 9 text
NO!
• 07121985
• antoninos
• anto89
• qwerty
• password
• 0000
• lucky (il nome del proprio cane)
Slide 10
Slide 10 text
SI!
• =bX*4jHjPZ
•
Slide 11
Slide 11 text
PRIMO
UTENTE WP
1. Cambiare username e non
lasciare “admin”
2. Cambiare ID dell’utente 1
Alternativa:
• Impostare permessi di
sottoscrittore
Slide 12
Slide 12 text
LIMITA
L’ACCESSO
PRINCIPIO DEL MINIMO PRIVILEGIO:
ogni utente deve avere i privilegi
necessari per svolgere il suo lavoro e
nulla più.
Slide 13
Slide 13 text
PERMESSI
FILE
• 755 -> a tutte le cartelle
• 644 -> tutti i file
• 600 -> wp-config.php
• 604 -> .htaccess
Slide 14
Slide 14 text
SPOSTARE WP-CONFIG.PHP
/home/username/public_html/wp-config.php
/home/username/wp-config.php
Già automaticamente gestito da WordPress
Slide 15
Slide 15 text
ATTIVARE
MODULO SSL
Slide 16
Slide 16 text
PREFISSO
TABELLE
Non lasciare il prefisso predefinito “wp_”
Slide 17
Slide 17 text
PREFISSO TABELLE
per un sito già in funzione
Plugin utili: Change Table Prefix, Change DB Prefix
Rinominare le tabelle Rinominare opzioni
Slide 18
Slide 18 text
DISABILITA
EDITOR DA ADMIN
Slide 19
Slide 19 text
BLOCCARE
NAVIGAZIONE CARTELLE
Aggiungere in .htaccess
Options All -Indexes
Slide 20
Slide 20 text
NASCONDI
WP-LOGIN.PHP
E WP-ADMIN
Slide 21
Slide 21 text
NASCONDERE
WP-LOGIN.PHP
1. Cambiare link a wp-login.php e aggiungere controllo
PER I PIÙ SMANETTONI
Slide 22
Slide 22 text
NASCONDERE
WP-LOGIN.PHP
2. Aggiungere regola rewrite
RewriteRule ^new-login$ wp-login.php
PER I PIÙ SMANETTONI
Slide 23
Slide 23 text
PROTEGGERE WP-ADMIN
1. Aggiungere in .htaccess
2. Aggiungere in .htpasswd (esempio)
AuthType Basic
AuthName “restricted area”
AuthUserFile /path/to/protected/dir/.htpasswd
require valid-user
letmein:E5Dj7cUaQVcN.
PER I PIÙ SMANETTONI
(via autenticazione)
Slide 24
Slide 24 text
PROTEGGERE WP-ADMIN
Permettere uno/più IP Bloccare uno/più IP
order deny,allow
allow from 127.0.0.1
deny from all
order allow,deny
deny from 127.0.0.1
allow from all
PER I PIÙ SMANETTONI
(via autenticazione)
Slide 25
Slide 25 text
1. Aggiungere questo codice su functions.php del tema
2. Rimuovere i file LEGGIMI.txt, license.txt, licenza.html, readme.html dalla root di
WordPress e ricordarsi di farlo ad ogni aggiornamento.
TOGLI VERSIONE DI WP
Slide 26
Slide 26 text
TIENI SEMPRE
UN BACKUP
DI FILE E DATABASE
Slide 27
Slide 27 text
NASCONDERE
MESSAGGI AL LOGIN
Slide 28
Slide 28 text
PLUGIN
• iThemes Security (ex WP Better Security)
• All in One WP Security
• Limit login attempts
• Sucuri Security
• Wordfence Security
Slide 29
Slide 29 text
“
“
You could stop the rest of
your IT and pull all your
resources into security
for a year, and still not be
100% secure
Owen O’Connor,
Presidente dell’ISSA (Information Systems Security Association) irlandese.