Cybersecurity per Content Creator (in WordPress)

Chi sono Giuseppe Mazzapica Lavoro con WordPress da 20 anni Director of Engineering per Syde Ex Moderatoratore e (ancora) uno dei top-user di WordPress Stack Exchange Open-source contributor https://phpc.social/@gmazzap

Cybersecurity per Content Creator Obiettivi: Parlare di come proteggere contenuti, dati e siti web WordPress in modo pratico e poco “tecnico”. Breve panoramica dei temi trattati: Gestione delle password, protezione del sito, backup, strumenti utili. (in WordPress)

1. Prevenzione 2. Rilevamento 3. Risposta e Recupero La triade della sicurezza web

Rischi principali Perdita di dati Danno Economico Furto di identità Danni alla reputazione Downtime

Perché ne parliano A livello globale Il costo medio di un data breach è $4,88 milioni. Servono in media 194 giorni per individuare un data breach Servono in media 64 giorni per contenenere un data breach Ci sono stati più di 6 miliardi di attacchi malware nel 2023 La durata media di un DDoS è stata di 68 minuti nel 2023 Avviene un cyber attacco ogni 39 secondi

Perché ne parliano In Italia Nel 2024 c’è stato un incremento degli attacchi del 15,2% rispetto all’anno precedente. Gli attacchi classificati come "ad alto impatto" hanno raggiunto il 53%, quelli considerati critici sono stati il 9% (29% a livello mondiale. Gli incidenti di gravità media sono stati il 38% (22% a livello globale).

Tipologie più comuni di attacchi Phishing Distributed Denial of Service (DDoS) Malware Brute force

Le cause più comuni degli attacchi Corruzione delle password Software e plugin non aggiornati Software malevolo 66% degli attacchi a siti WordPress Configurazioni errate

Aggiornare il software Aggiornare WordPress, plugin, temi (ma anche il sistema operativo, i software, ecc). Usare aggiornamenti automatici. Usare ambiente di staging, se necessario. Scegliere temi e plugin mantenuti e fare controlli periodici sul loro stato di sviluppo. Attivare notifiche per aggiornamenti (via plugin)

Scegliere bene il software Scaricare e temi e plugin da fonti fidate. Non usare plugin e temi “nulled”. Non cercare il “gratis a ogni costo”.

Autenticazione sicura Password forti (non come vi hanno detto finora) Password manager (1Password, Bitwarden, ecc) MFA (esiste il plugin WordPress!) Gestione degli accessi con ruoli adatti (least priviledge) e revisione degli utenti periodica. Passkeys (esiste il plugin WordPress!)

Backup, backup, backup Backup regolari, programmati e ridondanti. Backup ad-hoc prima di cambiamenti (aggiornamenti, nuovi plugin o temi). Backup gestiti dall’hosting. Testare i backup regolarmente. Plugin di backup: (UpdraftPlus, BackWpUp o altri) .

Plugin di Sicurezza e WAF WordFence Sucuri Sucuri è uno strumento di sicurezza per siti web basato su cloud. Filtra tutto il tra co verso il tuo sito web prima ancora che raggiunga il server di hosting. Le sue funzionalità principali includono rilevamento di malware, monitoraggio dell'integrità e ra orzamento della sicurezza Sucuri esegue la scansione di tutto da remoto, quindi non esegue alcuna scansione approfondita a livello di server. Wordfence è un plugin di sicurezza WordPress che include un firewall endpoint (WAF) e uno scanner malware. Presenta altre misure di sicurezza come la sicurezza di accesso (2FA,captcha per il login, limitazione ai tentativi di login), live tra c e blocco avanzato basato su regole. A dWordfence è un firewall localizzato. Risiede sul server e quindi, può eseguire scansioni lato server a un livello più profondo e fornire una crittografia end-to-end. Ma questo vantaggio ha un costo in termini di prestazioni.

Altri consigli 1/3 Scegliere un hosting a dabile, con firewall e protezione DDoS, meglio se specializzato in WordPress. Avere un certificato SSL, sempre. Impostare correttamente permessi di file e cartelle. Non cliccare link nell email, mai.

Altri consigli 2/3 Non inserire password navigando da reti WiFi pubbliche. Non scrivere le password in chiaro in nessun modo, né fisicamente né digitalmente Non fornire password per telefono, mai. Non fornire alcun date “sensibile” se non avete chiamato voi. Non inserire password in siti che sono aperti tramite link, ma usare preferiti o barra indirizzi.

Altri consigli 3/3 Usare e aggiornare un antivirus. Usare Google Search Console per monitorare attività sospette sul sito. Evitare sviluppo “fai da te” Usare una VPN per connettersi, specie da reti pubbliche o condivise.

Altri consigli per l’hardening Disabilittare XML-RPC. Disabilitare Application Password. Disabilitare “User enumeration” via REST e pagine autore. Disabilitare “Remeber Me” per il login. Disabilitare l’editor integrato. Spostare wp-config in una directory non accessibile pubblicamente, impostare chiavi univoche (SALT).

Considerazioni per content creators Protezione dei Contenuti Originali Prevenire il plagio e il furto dei contenuti con watermarking e tecniche di protezione del copyright. Gestione dei Dati degli Utenti Proteggere i dati personali raccolti (commenti, registrazioni) in conformità al GDPR e altre normative (esistono plugin).

Formazione e aggiornamento Rimanere aggiornati sulle ultime minacce e vulnerabilità. Partecipare a webinar, corsi e conferenze. Leggere blog e siti web specializzati Frequentare forum e community dedicate a WordPress e alla sicurezza informatica. Connettersi con altri content creator e professionisti per scambio di esperienze e consigli (Meetup, WordCamp).

Grazie per l’ascolto! Domande?