15 Luglio 2013 Andrea (Xlogic.org) Leave a comment Informazione, Blogging, Performance e sicurezza

Come prevenire il Malware

Il Malware sfrutta le vulnerabilità tecniche e il comportamento umano per trovare l’accesso ad un computer, siti web e reti. Qualsiasi sito web e qualsiasi dispositivo di rete è vulnerabile alle infezioni malware. Anche i siti di grandi dimensioni, estremamente popolari possono essere manipolati.

Cosa posso fare per proteggere il mio sito? Nulla garantisce la sicurezza assoluta, alcune pratiche e dei principi di base possono aiutare a prevenire e proteggere i vostri visitatori. Prevenire il Malware su un sito web richiede tre accorgimenti: il sito stesso, la password utilizzata per caricare i contenuti del sito e il computer utilizzato per caricare i contenuti del sito.

Come proteggere il proprio sito?

Eseguire il backup regolarmente. Un backup pulito è il modo più semplice per ripristinare il proprio sito, se qualcosa va storto. Il backup può essere eseguito manualmente o automaticamente.

Mantenere tutti i software e gli script aggiornati. Ciò significa che il sito web, WordPress, Drupal, Joomla etc.. ma anche tutti i plugin, temi, estensioni, script o altri software devono essere sempre aggiornati. Molti sistemi di gestione dei contenuti (CMS) hanno un pannello di amministrazione user-friendly che notifica gli amministratori del sito, quando sono disponibili aggiornamenti software. Aggiorna subito! Questo è una delle migliori difese contro il Malware.

Rimuovere eventuali script, plugin o altri software che non vengono più usati. Se si installa un tema o un plugin e si decide di non usarlo, bisogna rimuoverlo subito, invece di lasciarlo inutilizzato nel sito.

Usare cautela quando si decide di usare script di terze parti e plugin da installare. E’ importante ricordare che la maggior parte dei plugin, temi e altri script non vengono creati dagli sviluppatori dei CMS. Sono scritti da sviluppatori esterni e programmatori e possono contenere buchi di sicurezza. Si consiglia di controllare sempre la reputazione del software di terze parti e il suo sviluppatore prima di installarlo.

Registrarsi a Google Webmaster Tools. Google Strumenti per Webmaster vi darà accesso a una serie di strumenti utili e informazioni correlate che consentono di controllare le prestazioni e il contenuto del sito. Se gli scanner di Google rilevano qualcosa di sospetto sul sito, sarete in grado di trovare le informazioni tramite la bacheca.

Considerare l’utilizzo di un servizio di monitoraggio per il sito. Ci sono una serie di aziende stimabili che possono monitorare il sito web e all’occorrenza segnalare le attività sospette e notificare le vulnerabilità del sito.

Utilizzare le password. Assicurarsi di cambiare tutte le password predefinite subito e non memorizzarle sul computer è un ottima scelta. Modificare le password regolarmente, anche se non si ha motivo di credere che il sito sia stato compromesso. Non utilizzare la stessa password per più account e soprattutto se tali account possono essere utilizzati per accedere al sito! Se avete difficoltà a ricordare o creare delle password sicure, ci sono alcuni strumenti gratuiti per la gestione delle password che possono aiutare a gestire i dati di accesso.

Utilizzare adeguati permessi dei file. In genere consigliamo di impostare i file a 644 e le cartelle a 755. Non si dovrebbero mai cambiare i permessi se non si sa esattamente a cosa servono!

Proteggere il proprio computer e le connessioni di rete. Il sito web può essere infettato se si utilizza un computer infetto per aggiornare il sito. Questa è una causa comune di hack del sito. Se non si utilizza un antivirus affidabile, consigliamo di trovarne uno e controllare regolarmente ogni PC utilizzato per aggiornare il sito.

Utilizzare e proteggere le connessioni di rete. Attraverso le reti WiFi si possono lasciare delle informazioni sensibili, come ad esempio le credenziali di accesso del proprio sito. Con la proliferazione di notebook ultraportatili e dispositivi mobili è sempre più facile aggiornare un sito web in movimento, utilizzare una connessione di rete protetta è la soluzione migliore.

Alla Prossima.

20 Settembre 2013 Andrea (Xlogic.org) 1 Comment News da Xlogic, Performance e sicurezza, Wordpress

Come bloccare gli attacchi Brutal Force su WordPress

La sicurezza del proprio sito web è fondamentale per non incorrere in attacchi hacker e/o virus; se il sito è stato creato con WordPress, si può proteggere lo stesso attraverso l’installazione di diversi plugins.

Ad esempio WordPress non limita i tentativi d’accesso di login pertanto gli hacker possono usare una tecnica che prende il nome di Brutal Force; in pratica attraverso questa tecnica provano ad accedere continuamente fino a che non trovano le credenziali d’accesso ed entrano nell’area del malcapitato. Questo porta anche a rallentamenti del sito e spesso a sospensioni dell’account Hosting da parte del Provider.

C’è un modo per limitare i tentativi d’accesso e di conseguenza evitare questo tipo di attacco.

Installare il plugin Limit Login Attempts, che come detto precedentemente previene i tentativi fraudolenti di intrusione nel vostro blog tramite il blocco degli indirizzi IP degli utenti che hanno fallito l’accesso al sito per un certo numero di volte .

L’amministratore del sistema potrà decidere:

– Il numero di accessi falliti ammessi (allowed retries)
– Il Numero di blocchi permessi (lockout)
– Il tempo di blocco a seguito del superamento di tale limite (minutes lockout)
– L’incremento di tempo di blocco a seguito del superamento del numero di blocchi (increase lockout time)
– Il Tempo in ore dopo il quale resettare il numero di tentativi permessi
– Gestire la connessione al sito in maniera diretta o dietro un Reversey Proxy
– Essere avvisati via email a seguito di un blocco con invio dell’indirizzo IP dell’utente
– Essere avvisati via email del raggiungimento del numero massimo di blocchi per utente

Nella configurazione standard il plugin blocca l’ip per 20 minuti. Al secondo blocco inibisce l’accesso per 24 ore.

Di seguito le caratteristiche di questo plugin:

– Limita il numero di tentativi di accesso standard all’IP.
– Limita il numero di tentativi di accesso utilizzando i cookie auth per l’IP.
– Al momento del login fallito, informa gli utenti sul numero di tentativi rimanenti.
– Effettua una statistica sul numero di blocchi attualmente attivi.
– Registra l’attività che mostra gli indirizzi IP che sono stati prima bloccati e gli Account che hanno tentato di accedere.
– Notifica mediante email gli IP bloccati.
– Opzione per la gestione del server dietro un proxy inverso.
– Opzione di whitelist IP specifici.

Dopo averlo installato accedete in Impostazioni –> Limit Login Attempts e impostate il plugin in questo modo:

Questo Plugin è essenziale per la sicurezza del vostro sito, consigliato.

Alla Prossima.

3 Luglio 2012 Andrea (Xlogic.org) Leave a comment News da Xlogic, Performance e sicurezza, Wordpress

6 Plugins per il Login e la Registrazione in WordPress

La pagina Login di default di WordPress non è personalizzabile e attraente. Nella directory ufficiale di WordPress ci sono molti plugin che permettono di aggiungere delle pagine separate per la Registrazione o il Login degli utenti. Abbiamo elencato i migliori plugin adatti a questo scopo.

1 Profile Builder

Profilo Builder è il miglior plugin per creare la registrazione personalizzata e le pagine di login. È possibile aggiungere il login o la registrazione in qualsiasi pagina o post utilizzando solo uno shortcode.

2 Login With Ajax

Ajax Login è un plugin che aggiunge un fantastico widget di login nella vostra sidebar e gli utenti possono accedere senza lasciare la pagina. Il widget è basato su Ajax, è possibile impostare un URL di reindirizzamento dopo il login.

3 Custom Login

Con questo plugin è possibile personalizzare la pagina di login completamente. Questo plugin offre la possibilità di aggiungere un’immagine di sfondo, colore etc. È inoltre possibile caricare il logo alla tua pagina di login ed è dotato di un CSS di default, se non si desidera aggiungere i propri stili.

4 Theme My Login

Theme My Login è perfetto se volete aggiungere il “login” in qualsiasi pagina. È possibile aggiungere il widget di login in qualsiasi pagina o post utilizzando solo uno shortcode [theme-my-login].

5 Simple Login

Non aggiunge un form di login, ma aggiunge un collegamento alla sidebar come widget. Il vantaggio di questo plugin è che si può definire la destinazione dopo il login.

6 WPMS Network Sidebar Login

Questo Plugin aggiunge un form di login nella sidebar con “Crea un nuovo account” ed il link “Hai perso la password?”.

Alla Prossima.

17 Febbraio 2012 Andrea (Xlogic.org) Leave a comment Guide Hosting, Blogging, Performance e sicurezza

10 Consigli per mantenere sicuro un Sito Web

La sicurezza di un sito web è importante quanto il suo aspetto e la sua funzionalità, soprattutto se si archiviano dati personali, come i dati della carta di credito, indirizzi email, etc. Se siete stati vittima di un hacker, allora probabilmente vi rendete conto di quanto dannoso e frustrante possa essere la violazione del proprio sito.

Esempio di sito bucato dagli Hacker

Ci sono alcuni accorgimenti che consentono di rendere il vostro sito web meno vulnerabile agli attacchi hacker e non richiedono grosse conoscenze tecniche.

Questi 10 consigli vi aiuteranno a rendere il vostro sito più sicuro ed è un ottimo punto di partenza per la maggior parte degli utenti.

Mantieni gli Script aggiornati

Le applicazioni open source come Magento, WordPress, phpBB, OpenCart ed altri CMS sono molto utili, ma bisogna ricordarsi di mantenerli sempre aggiornati. Le vecchie versioni di queste applicazioni possono rendere il vostro sito vulnerabile agli attacchi degli hacker, quindi è importante eseguire l’aggiornamento alla versione più recente di qualsiasi script che usi per il tuo sito web.

Se hai installato uno script utilizzando Softaculous, riceverai una e-mail ogni volta che viene rilasciata una nuova versione. Prima di aggiornare un CMS alla versione più recente, esegui sempre un backup del sito nel caso in cui la versione più recente dia problemi.

Aggiorna Plugin ed Estensioni

Se utilizzi Magento, WordPress, Joomla o altro, hai dei plugin o delle estensioni installate sul tuo sito, assicurati di tenerli sempre aggiornati, le vecchie versioni di plugin o estensioni sono vulnerabili dagli hacker.

Nel caso di WordPress, gli Hacker utilizzano quasi sempre un codice maligno che risiede all’interno dei Temi per bucarvi il sito, questo non succede se scaricate i Temi dalla directory ufficiale di WordPress dove i temi sono controllati e sicuri. Leggi anche: WordPress come assicurarsi che il proprio tema sia sicuro

Elimina le installazioni non utilizzate

Se hai installato WordPress 2 anni fa e non hai ancora trovato il tempo per scrivere un post, allora è il momento di cancellare questa installazione, perchè è vulnerabile agli attacchi degli hacker.

Disinstalla e reinstalla l’ultima versione di WordPress.

Utilizza Password difficili da indovinare

Secondo un rapporto di Imperva , una delle principali società di sicurezza dati, le password più comunemente utilizzate sono cifre consecutive, come 1234567, chiavi adiacenti come QWERTY, parole in gergo e nomi propri. Se la password utilizzata per l’area di amministrazione del tuo sito web rientra in una delle categorie elencate, allora dovresti cambiarla immediatamente.

E’ meglio utilizzare delle password generate in modo casuale con combinazioni di numeri, lettere e caratteri speciali. Per creare una password generata in modo casuale è possibile utilizzare il generatore casuale di password random.org.

Non condividere le tue Password con nessuno

Se vuoi evitare che il tuo sito web o posta elettronica sia bucato dagli hacker, non condividere le tue password con nessuno. Con la maggior parte delle applicazioni open source è possibile creare facilmente nomi utenti e password per utenti diversi, quindi non c’è bisogno di condividere le informazioni con nessuno.

Cambia le Password regolarmente

Per contribuire a mantenere sicuro il tuo sito web, cambia le password ogni 3 mesi circa. Se hai avuto un problema di sicurezza, allora cambiale subito.

Non utilizzare il tuo nome Utente predefinito

Quando si installa un’applicazione open source come WordPress o Magento, verrà creato un account admin di default con il nome utente admin.

Cambia il nome utente per l’account subito.

Non pubblicizzare lo Script che stai usando

Un modo per scoraggiare gli hacker è quello di rendere difficile a loro capire quale applicazione open source stai utilizzando sul tuo sito. Quando si installa uno script, la favicon di default sarà il logo dell’applicazione. Se non si cambia la favicon, allora gli hacker si renderanno conto immediatamente dello script che state utilizzando.

Inoltre, verifica che i temi non includano link che richiamino il CMS usato, tipo ‘Powered by WordPress’ e rimuovi il meta name=”generator”, ciò potrebbe rendere il vostro sito un bersaglio per gli hacker.

Elimina gli Account Ftp inutilizzati

Se disponi di più account FTP per il tuo sito, assicurati di eliminare gli account FTP che non stai utilizzando.

Gli account inutilizzati possono essere facilmente eliminati tramite cPanel in ‘Account FTP’.

Cosa fare se il tuo sito è stato compromesso dagli Hacker?

Se il tuo sito è stato bucato dagli Hacker, contatta il Provider dell’Hosting subito. Il tuo fornitore di hosting dovrebbe essere in grado di dirti l’entità del danno causato dall’hacker, oltre a fornire raccomandazioni sui passi che devi fare per rendere il sito fruibile e sicuro.

In alcuni casi, i siti hackerati potranno essere ripristinati da un backup e poi in seguito dovranno essere adottate delle contromisure per proteggere il sito. Anche se la maggior parte dei Provider effettuano il Backup di tutti siti residenti in un server è importante e consigliato per gli utenti creare il proprio backup il più spesso possibile.

Alla Prossima.

25 Giugno 2011 Andrea (Xlogic.org) Leave a comment Informazione, Blogging, Performance e sicurezza

Test server con Load Impact

Load Impact è un nuovo servizio online che ti permette di vedere quanto traffico il tuo sito web in grado di gestire. Load Impact genera un traffico simulato di utenti verso il tuo sito, per esempio si possono simulare 50 utenti che stanno cercando di caricare le pagine web nello stesso momento, mentre simula il traffico di questi 50 utenti, registra anche la velocità di caricamento sul server. Questo consente di sapere quanto è veloce il vostro sito.

La versione Free Test di Load Impact permette di testare contemporaneamente un massimo di 50 utenti.

Load Impact aiuta a dare un’idea della potenza del server, valutate anche se nel vostro sito è attivo un sistema di caching, la compressione ed altro, se il vostro sito non è ottimizzato il test potrebbe risultare negativo. Come ottimizzare il proprio sito? Leggi questa guida.

Per testare il server del vostro sito, clicca su Load Impact.

6 Dicembre 2015 Andrea (Xlogic.org) Leave a comment News da Xlogic, Performance e sicurezza, Wordpress

I migliori plugin per la sicurezza di WordPress

WordPress è un CMS potente, flessibile e con esso è possibile effettuare qualsiasi cosa, grazie ai migliaia di temi e di plugin disponibili nella directory ufficiale, ma essendo un software Open Source può succedere che ci sia il rischio di installare dei plugin o temi contenenti virus o malware, e così facendo il tuo sito verrebbe compromesso e di conseguenza per esempio potresti venire sospeso dal Provider perché il tuo Account invia automaticamente Spam.

Per evitare questi problemi ti consigliamo alcuni plugin free che ti permetteranno di rendere sicuro il tuo sito WordPress.

Di seguito i migliori Plugin per la sicurezza di WordPress:

All in One – WP Security & Firewall

Questo plugin offre moltissime funzionalità tra cui l’antivirus, la protezione del sito con il Firewall, la possibilità di inserire gli IP in blacklist, inoltre blocca gli attacchi Brutal Force, protegge il database di WordPress.

Wordfence Security

Questo plugin permette di effettuare scansioni antivirus e antimalware, inoltre offre diverse funzionalità legate alla sicurezza, per esempio è possibile bloccare manualmente gli IP oppure blocca automaticamente gli attacchi Brutal Force.

Sucuri Security

Il plugin Sucuri Security è un set di strumenti di sicurezza per il controllo dell’integrità del sitema, rilevamento del malware e protezione avanzata.

Theme Authenticity Checker (TAC)

Questo plugin controlla se nei temi sono presenti degli elementi dannosi come virus o malware; è consigliabile controllare all’interno dell’area del plugin ogni volta che viene installato un nuovo tema.

Brute Force Login Protection

Questo plugin ha lo scopo principale di limitare gli attacchi Brutal Force al tuo sito WordPress; ma che cosa sono esattamente gli attacchi Brutal Force? Sono degli attacchi diretti alla pagina di Login del sito provocati da script dannosi che provano costantemente migliaia di combinazioni (User e Password) per riuscire ad accedere.

Quindi oltre ad installare questo plugin è importante cambiare l’User Admin inserendo un altro nome (magari il proprio nome) e soprattutto inserire una password complicata formata da lettere, numeri e simboli.

Lock Down

Questo plugin ti permette di modificare l’url di Login, quindi da wp-admin / wp_login.php potrai inserire l’url che preferisci, esempio: /entra – /accedi – /enter – etc…

Conclusioni
I plugin citati sono tutti importanti e popolari ma secondo noi i migliori plugin in assoluto sono:

Theme Authenticity Check (TAC)
Lock Down
Brute Force Login Protection

Per quanto riguarda il plugin Theme Authenticity Check (TAC), una volta scelto il tema del tuo sito, controlla che non abbia degli elementi dannosi all’interno e successivamente disattiva il plugin fino a quando non dovrai installare un altro tema.

E’ importante la sicurezza, ma bisogna comunque rendere più leggero possibile il sito web, ciò significa che i plugin che non sono realmente necessari o che comunque sono importanti solo alcune volte devono essere disattivati.

Alla prossima!