WordPress – Linee guida per la sicurezza : wordpress sicurezza

Tag: wordpress sicurezza

Andrea (Xlogic.org) 2 Comments News da Xlogic, Wordpress

WordPress – Linee guida per la sicurezza

Come per tutti i siti web, quelli creati con WordPress devono avere delle misure di sicurezza idonee per evitare violazioni da parte degli Hacker. Ci sono alcuni metodi molto efficaci per proteggere il proprio sito, di seguito alcuni consigli:

  • Modificare il nome utente predefinito. Quando viene installato, il nome utente predefinito di WordPress è “admin”, che può e deve essere modificato. La creazione di una password complessa è raccomandata, inoltre è meglio evitare password comuni con il cognome, nome, nome scritto al contrario, compleanni e numeri di telefono.
  • Nascondere la versione di WordPress. Poiché le versioni obsolete e senza patch di WordPress tendono ad essere obiettivi di intrusioni, questa informazione deve essere rimossa dalla pagina, inoltre eliminiamo il file readme.html dalla cartella.
  • Aggiornamento chiavi di sicurezzaQuesto sito genera sei chiavi di sicurezza. Sovrascrivere la chiave con quella nuova nel file wp-config.php.
  • Controllare i log degli errori. Poiché questi contengono le query non valide che stanno colpendo WordPress.
  • Proteggere la cartella wp-admin. In questo modo i file non sono accessibili da nessuno, ma solo dal proprietario.

 

Ci sono diversi plugin Free che possono aggiungere un ulteriore livello di sicurezza per WordPress.

  • Exploit Scanner. Questo plugin consente di scansionare velocemente i files di WordPress e i post del blog alla ricerca di codici maligni. Inoltre, rileva ed elimina anche i link di Spam.
  • WordFence Security. Confronta i file di base di WordPress con i file originali nel repository per rilevare eventuali modifiche. Questo plugin blocca anche gli utenti, dopo diversi tentativi di accesso non riuscito.
  • WordPress Sentinel. Questo plugin avvisa il proprietario quando i file vengono aggiunti, eliminati o modificati in qualsiasi cartella monitorata.
  • Theme Authenticity Checker (TAC). Questo plugin controlla i temi per il codice criptato e i link in uscita, qui trovate una recensione.

 

Prima di modificare il vostro Blog, effettuate sempre un backup ed aggiornate sempre WordPress e i Plugin all’ultima versione.

 

Stai cercando un Hosting Professionale per WordPress?

I nostri Piani Hosting sono Professionali.

Offriamo Hosting a prezzi contenuti e prestazioni elevate.

 

Alla Prossima.

 

Andrea (Xlogic.org) Leave a comment Informazione, Blogging, Performance e sicurezza

Come prevenire il Malware

Il Malware sfrutta le vulnerabilità tecniche e il comportamento umano per trovare l’accesso ad un computer, siti web e reti. Qualsiasi sito web e qualsiasi dispositivo di rete è vulnerabile alle infezioni malware. Anche i siti di grandi dimensioni, estremamente popolari possono essere manipolati.

Cosa posso fare per proteggere il mio sito? Nulla garantisce la sicurezza assoluta, alcune pratiche e dei principi di base possono aiutare a prevenire e proteggere i vostri visitatori. Prevenire il Malware su un sito web richiede tre accorgimenti: il sito stesso, la password utilizzata per caricare i contenuti del sito e il computer utilizzato per caricare i contenuti del sito.

Come proteggere il proprio sito?

Eseguire il backup regolarmente. Un backup pulito è il modo più semplice per ripristinare il proprio sito, se qualcosa va storto. Il backup può essere eseguito manualmente o automaticamente.

Mantenere tutti i software e gli script aggiornati. Ciò significa che il sito web, WordPress, Drupal, Joomla etc.. ma anche tutti i plugin, temi, estensioni, script o altri software devono essere sempre aggiornati. Molti sistemi di gestione dei contenuti (CMS) hanno un pannello di amministrazione user-friendly che notifica gli amministratori del sito, quando sono disponibili aggiornamenti software. Aggiorna subito! Questo è una delle migliori difese contro il Malware.

Rimuovere eventuali script, plugin o altri software che non vengono più usati. Se si installa un tema o un plugin e si decide di non usarlo, bisogna rimuoverlo subito, invece di lasciarlo inutilizzato nel sito.

Usare cautela quando si decide di usare script di terze parti e plugin da installare. E’ importante ricordare che la maggior parte dei plugin, temi e altri script non vengono creati dagli sviluppatori dei CMS. Sono scritti da sviluppatori esterni e programmatori e possono contenere buchi di sicurezza. Si consiglia di controllare sempre la reputazione del software di terze parti e il suo sviluppatore prima di installarlo.

Registrarsi a Google Webmaster Tools. Google Strumenti per Webmaster vi darà accesso a una serie di strumenti utili e informazioni correlate che consentono di controllare le prestazioni e il contenuto del sito. Se gli scanner di Google rilevano qualcosa di sospetto sul sito, sarete in grado di trovare le informazioni tramite la bacheca.

Considerare l’utilizzo di un servizio di monitoraggio per il sito. Ci sono una serie di aziende stimabili che possono monitorare il sito web e all’occorrenza segnalare le attività sospette e notificare le vulnerabilità del sito.

Utilizzare le password. Assicurarsi di cambiare tutte le password predefinite subito e non memorizzarle sul computer è un ottima scelta. Modificare le password regolarmente, anche se non si ha motivo di credere che il sito sia stato compromesso. Non utilizzare la stessa password per più account e soprattutto se tali account possono essere utilizzati per accedere al sito! Se avete difficoltà a ricordare o creare delle password sicure, ci sono alcuni strumenti gratuiti per la gestione delle password che possono aiutare a gestire i dati di accesso.

Utilizzare adeguati permessi dei file. In genere consigliamo di impostare i file a 644 e le cartelle a 755. Non si dovrebbero mai cambiare i permessi se non si sa esattamente a cosa servono!

Proteggere il proprio computer e le connessioni di rete. Il sito web può essere infettato se si utilizza un computer infetto  per aggiornare il sito. Questa è una causa comune di hack del sito. Se non si utilizza un antivirus affidabile, consigliamo di trovarne uno e controllare regolarmente ogni PC utilizzato per aggiornare il sito.

Utilizzare e proteggere le connessioni di rete. Attraverso le reti WiFi si possono lasciare delle informazioni sensibili, come ad esempio  le credenziali di accesso del proprio sito. Con la proliferazione di notebook ultraportatili e dispositivi mobili è sempre più facile aggiornare un sito web in movimento, utilizzare una connessione di rete protetta è la soluzione migliore.

 

Alla Prossima.

 

Andrea Leave a comment News da Xlogic, Wordpress

Strumenti di scansione Malware – Virus per WordPress

Internet è un posto affascinante, immenso ma anche molto pericoloso soprattutto se si possiede un sito web in quanto bisogna fare molta attenzione a scaricare ed installare plugins, scripts, moduli e temi perchè senza un controllo si rischia ad esempio di prendersi un virus, malware o addirittura è possibile che si possa subire un attacco hacker.

 

Per rendere sicuro il proprio sito web WordPress potrebbe essere necessario installare questi plugin:

TAC

Controlla automaticamente attraverso il back-end se nei temi WordPress installati è presente del codice maligno.

tac1

 

tac2

 

WORDFENCE

Wordfence Security è uno strumento fantastico, perchè è free ed è completo; permette all’utente di effettuare una scansione completa dei files, plugins e temi, effettua scansioni anti-malware, avvisa l’utente inviando automaticamente delle mail nel caso di accessi nel back-end di WordPress con altri IP, vi è la possibilità di bloccare degli indirizzi IP o addirittura paesi interi, ed effettua molte altre operazioni.

Wordfence

Essendo un sistema complesso è ovvio che necessiti di una configurazione; di seguito i passi per configurare correttamente il plugin:

– Options Disabilitare Enable Live Traffic View

– Options Where to email alerts > Inserire il proprio Indirizzo Mail

– Options How does Wordfence get IPs Selezionare la voce “Use PHP’s built in REMOTE_ADDR”

-Options Alerts Selezionare tutte le opzioni tranne “Alert me when someone with administrator access signs in.”

– Options Scans to include Selezionare tutte le opzioni tranne “Scan public facing site for vulnerabilities?” perchè è disponibile solo per i clienti che hanno acquistato il plugin.

– Options Login Security Options Configurare la voce Amount of time a user is locked out a 30 minuti.

Per visualizzare la documentazione completa di Wordfence clicca qui.

 

GOTMLS

Questo plugin è un ottimo anti-virus/anti-malware, rileva minacce e vulnerabilità nel sito e vi aiuta a rimuoverli.

Gotmls

Caratteristiche:

  • Rimozione automatica delle “minacce conosciute”.
  • Update definizioni Virus.
  • Aggiorna automaticamente le versioni vulnerabili degli script timthumb.
  • Patcha automaticamente wp-login.php per bloccare gli attacchi brute-force.
  • Esegue una scansione rapida dal menu di amministrazione.
  • Personalizzazione Impostazioni scansione.
  • Esegue una scansione completa dalla pagina delle impostazioni.

 

Inoltre per effettuare un ulteriore prova dovresti controllare il tuo sito su http://sitecheck3.sucuri.net/ prevenire è meglio che curare, non trovi?

 

Alla Prossima.

 

 

Andrea (Xlogic.org) Leave a comment News da Xlogic, Wordpress

WordPress – Plugin contro gli Exploit ed il Malware

WordPress è un ottimo CMS, ma bisogna ricordarsi di mantenerlo sempre aggiornato. Le vecchie versioni di queste applicazioni possono rendere il vostro sito vulnerabile agli attacchi degli hacker, quindi è importante eseguire l’aggiornamento alla versione più recente e di tenere sempre aggiornate le vecchie versioni dei plugin.

Sito bucato da un Hacker

Ci sono alcuni accorgimenti che consentono di rendere il vostro sito web meno vulnerabile agli attacchi hacker e non richiedono grosse conoscenze tecniche.

 

Qui di seguito trovate alcuni Plugin adatti a questo scopo:

 

WP Malwatch

WP-MalWatch è un plugin per WordPress che avvisa l’utente quando gli hacker sono al lavoro all’interno del  blog. WP-MalWatch esegue una scansione di sicurezza della vostra installazione di WordPress alla ricerca di eventuali infiltrazioni.

Scarica WP Malwatch

 

Timthumb Vulnerability Scanner

Una delle vulnerabilità più usata dagli Hacker è il file timthumb.php, questo plugin controlla la directory wp-content e se alcune istanze risulteranno obsolete o insicure vi darà la possibilità di aggiornare automaticamente il tutto con un clic. In questo modo vi proteggerà dagli hacker che cercano di sfruttare questa vulnerabilità particolare.

Scarica Timthumb Vulnerability Scanner

 

Exploit Scanner

Questo plugin cerca file e codici sospetti nel blog, la ricerca avviene nei post, nei commenti, nei plugin e nelle tabelle del database.

Scarica Exploit Scanner

 

Nel caso in cui Google vi segnalasse Malware nelle pagine del vostro blog, controllatelo con questo Tool: Sucuri. Il Malware e il codice maligno è sempre annidato nei Temi o nei Plugin.

Leggi anche: WordPress come assicurarsi che il proprio tema sia sicuro

 

Alla Prossima.