Come rendere WordPress più sicuro

Transcript

1. Sicurezza su WordPress Tutto ciò che normalmente non viene fatto

   su un sito WordPress Relatore Antonino Scarfì Roma - 13/14 Giugno 2015

2. antoscarface [email protected] antoninoscarfi MI PRESENTO “Coach” & Senior Developer @YIThemes

3. COME LIMITARE I DANNI Questa non è una guida per

   rendere un sito totalmente immune. Lo scopo del talk è mettere in evidenza gli errori più comuni.

4. TIENI WORDPRESS SEMPRE AGGIORNATO

5. TIENI PLUGIN E TEMI SEMPRE AGGIORNATI

6. None

7. LA SCELTA DELL’HOSTING • Effettua backup giornalieri di tutti i

   dati delle sue macchine? • Questi backup sono accessibili, oppure sono utilizzabili solo in caso di guasti al server? • Consente l’accesso in SSH e SFTP?

8. UTILIZZA PASSWORD COMPLESSE • Maiuscole, minuscole, numeri e caratteri speciali

   • Per ricordarle più facilmente, puoi tenere in considerazione software per la memorizzazione delle password

9. NO! • 07121985 • antoninos • anto89 • qwerty •

   password • 0000 • lucky (il nome del proprio cane)

10. SI! • =bX*4jHjPZ • <C9SO5K`gU • Imgèni13g! (Il mio gatto

    è nato il 13 gennaio!) • IsNi28D8919[]yeah (Io sono Nato il 28 Dicembre 1989, YEAH!) • In Sicilia ho mangiato 2 granite con la brioche.

11. PRIMO UTENTE WP 1. Cambiare username e non lasciare “admin”

    2. Cambiare ID dell’utente 1 Alternativa: • Impostare permessi di sottoscrittore

12. LIMITA L’ACCESSO PRINCIPIO DEL MINIMO PRIVILEGIO: ogni utente deve avere

    i privilegi necessari per svolgere il suo lavoro e nulla più.

13. PERMESSI FILE • 755 -> a tutte le cartelle •

    644 -> tutti i file • 600 -> wp-config.php • 604 -> .htaccess

14. SPOSTARE WP-CONFIG.PHP /home/username/public_html/wp-config.php /home/username/wp-config.php Già automaticamente gestito da WordPress

15. ATTIVARE MODULO SSL

16. PREFISSO TABELLE Non lasciare il prefisso predefinito “wp_”

17. PREFISSO TABELLE per un sito già in funzione Plugin utili:

    Change Table Prefix, Change DB Prefix Rinominare le tabelle Rinominare opzioni

18. DISABILITA EDITOR DA ADMIN

19. BLOCCARE NAVIGAZIONE CARTELLE Aggiungere in .htaccess Options All -Indexes

20. NASCONDI WP-LOGIN.PHP E WP-ADMIN

21. NASCONDERE WP-LOGIN.PHP 1. Cambiare link a wp-login.php e aggiungere controllo

    PER I PIÙ SMANETTONI

22. NASCONDERE WP-LOGIN.PHP 2. Aggiungere regola rewrite RewriteRule ^new-login$ wp-login.php PER

    I PIÙ SMANETTONI

23. PROTEGGERE WP-ADMIN 1. Aggiungere in .htaccess 2. Aggiungere in .htpasswd

    (esempio) AuthType Basic AuthName “restricted area” AuthUserFile /path/to/protected/dir/.htpasswd require valid-user letmein:E5Dj7cUaQVcN. PER I PIÙ SMANETTONI (via autenticazione)

24. PROTEGGERE WP-ADMIN Permettere uno/più IP Bloccare uno/più IP order deny,allow

    allow from 127.0.0.1 deny from all order allow,deny deny from 127.0.0.1 allow from all PER I PIÙ SMANETTONI (via autenticazione)

25. 1. Aggiungere questo codice su functions.php del tema 2. Rimuovere

    i file LEGGIMI.txt, license.txt, licenza.html, readme.html dalla root di WordPress e ricordarsi di farlo ad ogni aggiornamento. TOGLI VERSIONE DI WP

26. TIENI SEMPRE UN BACKUP DI FILE E DATABASE

27. NASCONDERE MESSAGGI AL LOGIN

28. PLUGIN • iThemes Security (ex WP Better Security) • All

    in One WP Security • Limit login attempts • Sucuri Security • Wordfence Security

29. “ “ You could stop the rest of your IT

    and pull all your resources into security for a year, and still not be 100% secure Owen O’Connor, Presidente dell’ISSA (Information Systems Security Association) irlandese.