Come bloccare gli attacchi Brutal Force su WordPress : wordpress

Tag: wordpress

Andrea (Xlogic.org) 1 Comment News da Xlogic, Performance e sicurezza, Wordpress

Come bloccare gli attacchi Brutal Force su WordPress

La sicurezza del proprio sito web è fondamentale per non incorrere in attacchi hacker e/o virus;  se il sito è stato creato con WordPress, si può proteggere lo stesso attraverso l’installazione di diversi plugins.

Ad esempio WordPress non limita i tentativi d’accesso di login pertanto gli hacker possono usare una tecnica che prende il nome di Brutal Force; in pratica attraverso questa tecnica provano ad accedere continuamente fino a che non trovano le credenziali d’accesso ed entrano nell’area del malcapitato. Questo porta anche a rallentamenti del sito e spesso a sospensioni dell’account Hosting da parte del Provider.

C’è un modo per limitare i tentativi d’accesso e di conseguenza evitare questo tipo di attacco.

Installare il plugin Limit Login Attemptsche come detto precedentemente previene i tentativi fraudolenti di intrusione nel vostro blog tramite il blocco degli indirizzi IP degli utenti che hanno fallito l’accesso al sito per un certo numero di volte .

L’amministratore del sistema potrà decidere:

– Il numero di accessi falliti ammessi (allowed retries)
– Il Numero di blocchi permessi (lockout)
– Il tempo di blocco a seguito del superamento di tale limite (minutes lockout)
– L’incremento di tempo di blocco a seguito del superamento del numero di blocchi (increase lockout time)
– Il Tempo in ore dopo il quale resettare il numero di tentativi permessi
– Gestire la connessione al sito in maniera diretta o dietro un Reversey Proxy
– Essere avvisati via email a seguito di un blocco con invio dell’indirizzo IP dell’utente
– Essere avvisati via email del raggiungimento del numero massimo di blocchi per utente

Nella configurazione standard il plugin blocca l’ip per 20 minuti. Al secondo blocco inibisce l’accesso per 24 ore.

Di seguito le caratteristiche di questo plugin:

– Limita il numero di tentativi di accesso standard all’IP.
– Limita il numero di tentativi di accesso utilizzando i cookie auth per l’IP.
– Al momento del login fallito, informa gli utenti sul numero di tentativi rimanenti.
– Effettua una statistica sul numero di blocchi attualmente attivi.
– Registra l’attività che mostra gli indirizzi IP che sono stati prima bloccati e gli Account che hanno tentato di accedere.
– Notifica mediante email gli IP bloccati.
– Opzione per la gestione del server dietro un proxy inverso.
– Opzione di whitelist IP specifici.

Dopo averlo installato accedete in Impostazioni –> Limit Login Attempts e impostate il plugin in questo modo:

limit_login_attempts

Questo Plugin è essenziale per la sicurezza del vostro sito, consigliato.

 

Alla Prossima.

 

Andrea Leave a comment News da Xlogic, Drupal, Joomla, Prestashop, Wordpress

Come installare la cache nei Cms più importanti

Oggi parliamo di un aspetto molto importante per rendere il proprio sito web più veloce e performante.

Sto parlando ovviamente del fattore cache; in termini informatici la cache è una memoria temporanea, non visibile all’utente che memorizza un insieme di dati che potranno essere velocemente recuperati su richiesta.

La cache nei CMS non è attiva e presente di Default, ma deve essere installata per una serie di ragioni:

– La velocità di caricamento di un sito Web incide sul posizionamento dello stesso sui motori di ricerca.

– Offrire agli utenti una migliore esperienza di navigazione

– Risparmiare Banda nel senso che se un utente ha visualizzato dei file multimediali, la prima volta consuma banda, mentre se li visualizzerà nuovamente la banda non verrà consumata in quanto i files temporanei sono nella Cache.

 

In questo articolo spiegheremo come installare la cache nei CMS più importanti:

 

WORDPRESS

Per installare la cache su WordPress consigliamo di installare il plugin WP Super Cache, leggi la guida su come installarlo.

 

JOOMLA

Per abilitare la cache in Joomla bisogna seguire questo percorso:

Sito > Configurazione globale > Scheda sistema > Riquadro Impostazioni Cache > Scegliere ON – Cache Conservativa ed impostare un tempo di cache pari a 60 minuti.

Cerchiamo di fare chiarezza sulla differenza che c’è tra i tipi di Cache in Joomla:

Le impostazioni di cache progressiva sono quelle di default e prevedono il caching di tutti gli elementi della pagina, inclusi i moduli.

Le impostazioni di cache conservativa provvedono al caching solo di alcuni elementi della pagina, permettendo quindi che gli altri siano ricaricati da zero più volte.

Per migliorare ulteriormente i tempi di caricamento bisogna modificare il file htaccess che si trova nella root di Joomla inserendo al fondo del file il seguente codice:

########## Begin Enable Caching ##########
#
# enable expirations
ExpiresActive On
# expire images after a month in the website visitor cache
ExpiresByType image/gif “access plus 1 month”
ExpiresByType image/png “access plus 1 month”
ExpiresByType image/jpeg “access plus 1 month”
ExpiresByType image/x-icon “access plus 1 month”
# expire stylesheets and javascript after 1 week in the website visitor cache
ExpiresByType text/css “access plus 1 week”
ExpiresByType application/javascript “access plus 1 week”
# expire flash and XML 1 month and 1 week respectively in the website visitor cache
ExpiresByType application/x-shockwave-flash “access plus 1 month”
ExpiresByType text/xml “access plus 1 week”
#
########## End Enable Caching ##########

 

DRUPAL

Per abilitare la cache in Drupal bisogna accedere nel pannello di controllo Drupal e alla pagina Prestazioni abilitare la cache.

E’ consigliabile abilitare la cache “Normale” in quanto la cache “Aggressiva” potrebbe portare qualche problema causata dal caricamento dei moduli.

 

MAGENTO

Per ottimizzare un sito Magento bisogna attivare la cache intervenendo nel backend seguendo questo percorso:

Sistema -> Gestione della cache

Una volta raggiunta quest’area bisognerà abilitare tutte le voci.

Inoltre per ottimizzare al massimo la cache dovrete modificare i parametri PHP da cPanel in questa modo:

realpath_cache_size = 64k
realpath_cache_ttl = 7200
max_execution_time = 120
max_input_time = 90
memory_limit = 256M
default_socket_timeout = 90
pdo_mysql.cache_size = 2000
output_buffering = 4096

Per gli utenti di Xlogic la versione PHP e i relativi parametri potranno essere modificati direttamente da cPanel grazie a CageFS.

 

PRESTASHOP

Per abilitare la cache sulle versioni di Prestashop 1.3 o inferiori è necessario:

– aprire il file smarty.config.inc.php seguendo questo percorso: Root / Config

– inserire questo codice:
$smarty – > cache = true;
$smarty – > force_compile = false;

Per abilitare la cache sulle versioni di Prestashop 1.4 o superiori è necessario seguire questo percorso:

back-office > preferenze > prestazioni > attiva la cache di smarty > salva cambiamenti

 

Alla prossima!

 

Mattia Leave a comment Informazione, Wordpress

WordPress, aggiornamento alla versione 3.4.2

WordPress 3.4.2 è disponibile per il download, questa è una release di sicurezza per tutte le versioni precedenti.

Dopo quasi 15 milioni di download dalla versione 3.4 pubblicata tre mesi fa, gli sviluppatori di WordPress hanno individuato e corretto una serie di bug fastidiosi, tra cui:

    • Risolti alcuni problemi con i browser meno recenti in area di amministrazione.
    • Risolto un problema in cui un tema non visualizzava l’anteprima correttamente o la sua immagine non veniva visualizzata.
    • Migliorata la compatibilità dei plugin con l’editor visuale.
    • Risolti alcuni problemi di impaginazione con alcune strutture di categoria permalink.

 

La versione 3.4.2 corregge anche un paio di problemi di sicurezza. Alcune vulnerabilità e un bug che colpisce installazioni multisito con gli utenti non attendibili. Questi problemi sono stati scoperti e risolti dal team di sicurezza di WordPress.

Scarica WordPress 3.4.2 o aggiornalo tramite la Dashboard.

Non sottovalutate gli aggiornamenti, vi consigliamo di leggere questo articolo.

 

Alla Prossima.

 

Andrea (Xlogic.org) 2 Comments News da Xlogic, Wordpress

WordPress – I 5 migliori Plugin per le Statistiche

Se utilizzate WordPress per il vostro blog o sito web, allora potreste prendere in considerazione i 5 plugin Free per le statistiche che oggi vi proponiamo. Questi plugin sono progettati per fornire molte informazioni utili per controllare il vostro sito.

 

StatPress

statpress
Se volete sapere quante persone visitano il vostro sito web e visualizzare i dettagli relativi agli utenti che stanno navigando sul blog è necessario installare StatPress. Come altri plugin, StatPress fornisce molte informazioni utili (numero di visitatori, post più popolari, etc.), ma permette anche di spiare le persone mentre navigano nel sito tramite la modalità Spy. La modalità Spy vi permetterà di vedere quali messaggi un utente sta guardando, come hanno trovato il vostro sito, l’indirizzo IP e il browser web e anche da quale paese arrivano.

 

Registration Statistics
registrations
Questo plugin fornisce tavole interattive e grafici che mostrano l’attività del sito in un particolare giorno o durante un intervallo di date specifico, inoltre è possibile ordinare le tabelle in base alla data o il numero di visualizzazioni e vi aiuterà a identificare rapidamente le tendenze e il comportamento degli utenti.

 

Facebook Share Statistics

fbshare
Se volete sapere quante volte i vostri post sono stati condivisi su Facebook, così come per il numero di commenti, click, allora dovete installare questo plugin per WordPress. Facebook Share Statistics fornisce informazioni e statistiche anche con grafici a torta, in modo da poter facilmente scoprire come le persone reagiscono ai vostri articoli su Facebook.

 

Wp-Statistics

wpstatistics
Con WP-Statistich è possibile utilizzare dei codici brevi per condividere le varie informazioni con gli utenti, tra cui il numero di persone che sono attualmente sul sito, il numero di visitatori che il blog ha avuto nel corso di un determinato periodo di tempo (ieri, l’ultima settimana , mese o anno, etc), i messaggi totali, pagine, utenti, commenti e molti altri dati.

 

Comment Stats

commentstats

Con questo plugin è possibile vedere quali post ha ricevuto il maggior numero di osservazioni. Comment Stats è estremamente facile da installare e non richiede alcuna alcuna configurazione. Questo plugin vi fornirà un elenco dei post più commentati nel corso di un determinato mese, così come il numero totale di osservazioni nel corso di un solo mese.

 

Alla Prossima.

 

Andrea (Xlogic.org) Leave a comment News da Xlogic, Social Media, Wordpress

Plugin Instagram per WordPress

Se utilizzate Instagram, una rete sempre più popolare che consente agli utenti di condividere, scrivere e commentare le immagini, allora dovete dare un’occhiata a questi plugin per WordPress.
Con queste plugin è possibile aggiungere con pochi click le gallerie Instagram nel poprio sito web, creare automaticamente i messaggi con le immagini più recenti e molto altro ancora.

 

SIMPLY INSTAGRAM
Simply Instagram è un plugin che permette all’utente di mostrare le proprie foto utilizzando un widget o uno shortcode; Esso include opzioni utili per visualizzare i feed, le foto recenti, e “clicca mi piace”; oltre a questo è possibile ovviamente regolare la dimensione delle immagini, il tema, il numero d’immagini da visualizzare e molto altro ancora. È anche possibile visualizzare il proprio profilo in un widget e fare uso della funzione di follow @ nomeutente per consentire ai visitatori di seguirti in maniera istantanea.

 

DSGNWRKS INSTAGRAM IMPORTER
Il seguente plugin consente all’utente di importare direttamente nel sito web le proprie foto creando un archivio.

 

INSTAPRESS
Se siete alla ricerca di un unico strumento per aiutarvi ad aggiungere foto Instagram alla sidebar, ai post e alle pagine, Instapress è il plugin per voi; include molte opzioni di personalizzazione, in modo da poter scegliere la dimensione e il numero di foto che si desidera visualizzare. Instapress offre anche la possibilità di utilizzare Fancybox per creare un jQuery-powered slideshow per le vostre immagini.

 

INSTAGRATE A WORDPRESS
Instagrate per WordPress è un plugin che crea automaticamente i post del blog ogni volta che si aggiunge una nuova foto di Instagram, in modo che non è più necessario perdere tempo aggiungendo manualmente i messaggi ed inserire immagini. Questo plugin comprende svariate opzioni, in modo da poter scegliere d’impostare le dimensioni dell’immagine e la classe CSS e altro ancora.

 

Alla Prossima.

 

Andrea (Xlogic.org) Leave a comment News da Xlogic, Wordpress

WordPress sito bucato con Timthumb

Se il vostro sito WordPress è stato bucato da un hacker è probabile che ha usato una vulnerabilità di TimThumb. TimThumb è uno script per il ridimensionamento delle immagini, che è stato utilizzato in molti temi e plugin. Purtroppo gli hacker hanno scoperto un buco in Timthumb e una volta abilitati ad accedere al blog possono fare qualsiasi cosa sul vostro server.

La soluzione: scaricare il Timthumb Vulnerability Scanner, che indicherà tutti gli script Timthumb nel vostro tema o plugin che ancora hanno il buco di sicurezza che consente agli hacker di accedere al sito. Se trovate qualche istanza è il momento di avviare la pulizia.

 

Alla Prossima.