Plugin Sicurezza Wordpress

CMS e Sicurezza

9 Marzo 2016
Hogueraweb
No comments
Categories: Blog

Brevissimi suggerimenti…

Sicurezza WordPress e non solo, ne parliamo spesso, leggiamo, ci studiamo su e troviamo soluzioni a volte adeguate e a volte insufficienti in alcune situazioni.

 

„La sicurezza assoluta per i nostri siti WordPress, Joomla o altro CMS probabilmente non esiste, esiste tenere aggiornati WordPress, Joomla e gli altri CMS ad ogni nuova release″

Quindi come possiamo proteggere il nostro sito anche quando la nostra versione di WordPress, di Joomla, Drupal o Magento ecce ecc è aggiornata ?

„Sono del personale parere che l’aspetto sicurezza sia una branca specifica e se devo essere sincero in progetti di una grande importanza ma anche di media importanza preferirei affidare la questione ad un team di professionisti specializzati solo in sicurezza”

Spesso si valutano diverse necessarie strategie legate a ciò che dovrà comunicare e vendere il sito.

L’ottica di partenza pone attenzione sul lato UX del sito, la sua indicizzazione e particolare lavoro per quanto concerne il lato SEO nell’ottica di ottenere successo nelle azioni di Web Marketing.

Bene, tutto molto bene…La strategia è fondamentale !
Ci sarebbe però a monte da considerare identica o meglio, maggiore importanza da dedicare alla sicurezza del sito web ovviamente anche questo ha un costo !

I dati parlano chiaro !

Secondo un’analisi eseguita tra il 2014 e 2015, su un campione di 5.500 aziende che comprendono 15.000 siti web e le scansioni eseguite su oltre 1,9 milioni di file, quasi la metà delle applicazioni web scansionate conteneva una vulnerabilità di alta sicurezza’ come XSS o SQL Injection, mentre oltre 4 su 5 applicazioni web sono state colpite da una vulnerabilità di sicurezza media.

Nel complesso, i risultati hanno confermato che le vulnerabilità delle applicazioni web pongono gravi minacce per la sicurezza complessiva delle aziende, come la perdita di dati o alterazione di questi, i tempi di inattività, la perdita di reputazione e spesso pesanti sanzioni.

„La Sicurezza del sito dovrebbe essere una priorità in qualsiasi organizzazione, ma rimane l’aspetto più trascurato da parte dell’azienda.
Gli hacker continuano a concentrare i propri sforzi su applicazioni web-based poiché spesso non hanno accesso diretto ai dati back-end come i database dei clienti”

. Questo quanto emerso dall’analisi di Acunetix nella sua relazione.

Secondo il rapporto, sia le applicazioni web che server sono a rischio vulnerabilità di alta e media sicurezza.
Quasi il 10 per cento dei server sottoposti a scansione sono stati trovati vulnerabili a rischi elevati di sicurezza e il 50 per cento aveva una vulnerabilità di media sicurezza.
Tutto ciò riguarda sia WorPress che altri CMS, come dire: “Chi esegue un attacco poco si cura di quale sia il CMS utilizzato, gli interessa solo danneggiare o modificare, nessun CMS gli sta particolarmente simpatico o meno.
Finita la premessa e dato che non tutti possono disporre dell’ovvio budget necessario per ricorrere ad un team di esperti in sicurezza informatica, vediamo come proteggere almeno in parte il nostro sito realizzato con WordPress.
I rudimenti sono certamente evitare il classico “admin” come username e password del tipo “1234567” o data di nascita (su questo argomento vi sono centinaia di pubblicazioni e dunque sorvolerò proprio.
Mantenere temi e plugin aggiornati e sempre provenienti da fonti sicure, accertarsi che vi siano aggiornamenti recenti.
Questi sono spesso la principale fonte di falle che possono compromettere il nostro sito web.

Sui temi vorrei sottolineare, evitiamo di risparmiare se si tratta si un progetto per terzi ma anche se si tratta di un nostro sito o se vogliamo creare un nostro blog.

Vale la pena di spendere qualche dollaro e affidarsi a temi Premium, ve ne sono a partire da poco più di 20 $.

Tra i migliori posso suggerire quelli offerti da Elegant-Theme,  Woo-Themes e i template e temi di Gavick
Abbiamo accertato che username e password siano sicuri, quindi sarà difficile per i malintenzionati accedere direttamente dal backend di WordPress.
Possiamo stare tranquilli…Anche no !
Gli attacchi “Brute Force” sono determinati da software (Bot) che cercano ripetutamente di violare l’accesso al pannello di amministrazione, attacchi che possono durare giorni e a nostra insaputa, sino a riuscire nell’intento.
Possiamo ricorrere a uno dei tanti plugin, rammentiamo che verranno eseguite delle modifiche ad alcuni file: wp-config e htaccess.
In alternativa cambiare la posizione di wp-admin.

Suggerisco un backup del database e il salvataggio dei file indicati prima dell’installazione del plugin

Il plugin è ITHEMES SECURITY per WordPress

Richiede: 4.1 o superiore
Compatibile fino a: 4.4.1
Ultimo aggiornamento: 2 settimane fa
Installazioni attive: 700.000+

Giusto “pochi” aspetti da configurare e avremmo una buona protezione e un sistema di alert via Email, inoltre oltre un dato numero di tentativi di accesso si può determinare il blocco dell’indirizzo IP.

Insomma un buon plugin che ci garantisce qualche sonno tranquillo.

Altra ottima soluzione è Clef Two-Factor Authentication

Compatibile fino a: 4.4.1
Ultimo aggiornamento: 4 giorni fa
Installazioni attive: 600.000+

Altro plugin per WordPress è WordFence di cui già vi ho parlato in un precedente articolo

Non vorrei fare una lista di tutti i plugin disponibili anche perchè alcuni sono abbastanza difficoltosi nella configurazione, inoltre anche gli stessi plugin che garantiscono sicurezza potrebbero paradossalmente costituire porte di ingresso a malintezionati.

A proposito di plugin verificare lo stato di vulnerabilità o eseguire una ricerca sui plugin che usate sul vostro sito WordPress qui: wpvulndb.com/plugins

La scelta dell’hosting ha fondamentale rilevanza, spesso si cerca di risparmiare a discapito della sicurezza.

Esistono alcuni strumenti che ci consentono di verificare eventuali vulnerabilità.

Uno di questi è il servizio offerto anche nella versione trial di 14 giorni da Acunetix OVS

Sarà sufficiente creare un account, inserire indirizzo IP del server ove si trova il sito o l’url del sito.
Scaricare e trasferire un file nello spazio web

Appurata la proprietà del sito si può procedere alla scansione.

Concludo …

Dato che come funghi vengono fuori corsi su come tenere un corso, corsi su come scrivere un corso, guida su come guidare un corso…
Non sarebbe male iniziare a lavorare seriamente su Corsi atti a garantire la sicurezza informatica.
Non parlo di corsi da poche ore e sbamm sfondi, no, parlo di figure specifiche senza tuttologia alcuna, figure veramente preparate in tal senso ed in questo specifico campo, Professionisti (si con la maiuscola) che possano offrire adeguato supporto in materia di sicurezza.

Buon lavoro

Wordfence Security plugin per WordPress

7 Marzo 2016
Hogueraweb
No comments
Categories: Blog, Plugin WordPress

WordFence Security un ottimo Plugin per WordPress ora alla versione 4.4

Premesso che l’aggiornamento costante e nel minor tempo possibile del CMS WordPress, dei sui plugin e temi è sempre fondamentale per evitare problemi di sicurezza.
Allo stesso modo la scelta del servizio di hosting deve essere oculata senza spesso farsi ingannare da servizi low coast, sebbene spesso sui condivisi vi siano senza dubbio maggiori rischi.

Installazione del plugin

Per limitare ulteriormente i ben noti hackeraggi dei nostri siti in WordPress, questa resta una valida soluzione, sempre che si rispetti l’installazione di plugin e temi WordPress di provenienza sicura.

Ci permetta inoltre di monitorare traffico e provenienza delle visite con un report accuratissimo, ci mostrerà suddivise in sezioni le tipologie di visite, loro provenienza se umane o meno e con relativi indirizzi IP, utenti registrati e crawler.

L’installazione è la tipica come per tutti i plugin di WordPress, ho da pacchetto oppure semplicemente digitando il nome del plugin WordFence Security nella barra di ricerca plugin dal repository di WordPress e cliccando “Enter” dalla nostra tastiera.

Una volta caricato dobbiamo attivarlo, ora andiamo nel menù di amministrazione e sulla voce WordFence troveremo l’indicazione sull’inserimento di un valido indirizzo Email che ci consentirà di attivare sia il plugin che il sistema di alert.

Caratteristiche del plugin

Il plugin Dispone di 4 diversi livelli di sicurezza, di default è impostato a due ma può essere personalizzato.

WordFence Security ci consente di eseguire uno scan e rilevare eventuali “anomalie” che ci consentono di capire anche se vi sono modifiche tra i file originali del core di WordPress e quelli attuali, inoltre eventuale blocco di malware.
La scansione ci potrà essere inviata alla Email indicata.

Una protezione efficace ma non solo…Su questo sito ove è installato WordFence Security mi ha permesso di individuare alcuni 404 che erano “sfuggiti” al setaccio dopo un recente restyling del sito.
Ci consente inoltre a colpo d’occhi e grazie alla funzione live di verificare in tempo reale i dettagli del traffico, provenienza geografica e pagine visitate.

Altra importante funzione è “Blocked IPs”, dunque oltre che provvedere ad un accurato sistema si analisi ci consente di provvedere al blocco di quegli indirizzi IP, o classi di indirizzi, che potrebbero rappresentare una minaccia per il nostro sito web.

Cellphone Sign-in è un’altra grande funzione, ci consente un alert al nostro numero di telefono mobile facendoci conoscere le operazioni di login.

La funzione “Country Blocking”, che consente di bloccare il traffico proveniente da un’intera area geografica e la funzione “Scan Schedule”, che ci consente di programmare le scansioni.

Questa ultime funzioni sono disponibili solo sulla versione Premium

Scaricare il plugin

Per scaricare il plugin WordFence Security dal repository Wordpress