Sicurezza su WordPress - Parte 2
SICUREZZA ACCESSI ED ACCOUNT, CONNESSIONI E BACKUP
Essendo un software open-source, WordPress offre vantaggi e svantaggi in fatto di sicurezza. Questo non significa che WordPress non sia affidabile, ma che è importante seguire best practices testate per mettere in sicurezza il proprio lavoro.
Continuano le strategie, le tecniche e i consigli dei nostri esperti per migliorare la sicurezza di WordPress e rimanere protetti.
Durata 45'
Livello medio
Rilascio certificazione
Entra nel nostro network
Video sempre disponibile
Documentazione scaricabileArgomenti del corso
- Gestione degli account amministrativi
- Sicurezza degli accessi
- Sicurezza dei dispositivi client
- Utilizzo di certificati SSL
- Backup
Riguarda il Webinar
Le risposte alle domande dei partecipanti
-
È indispensabile cambiare il puntamento del login al backend di WordPress (non /wp-admin per intenderci)?
È una delle tecniche di protezione del login di WordPress, occorre però ricordarsi anche di modificare la posizione di wp-login.php. È comunque più efficace di impedire l’accesso al wp-admin al di fuori degli indirizzi IP autorizzati (se siamo in possesso di indirizzi IP pubblici statici).
-
Per evitare di eseguire i file php in upload si crea un htaccess dentro la cartella upload?
Sì, basta inserire all’interno della directory che si vuole proteggere un file .htaccess con il seguente contenuto:
-
Sui server Plesk è suggerito disabilitare wp-cron.php. Questa opzione disabilita l'esecuzione predefinita di wp-cron.php, fornendo tutti gli strumenti necessari per creare un'attività pianificata regolare. Questa pratica è consigliabile?
Il wp-cron è usato da WordPress per eseguire operazioni pianificate. Spesso viene usato per gli aggiornamenti automatici del CMS o per effettuare operazioni di pulizia sul database. Se è necessario lasciarlo attivo si può limitare la sua esecuzione abilitandolo solo dall’indirizzo IP che lo deve chiamare tramite una direttiva nel file .htaccess:
oppure disabilitandolo nel file wp-config.php attraverso questa define:
define('DISABLE_WP_CRON', 'true');
-
È corretto limitare o bloccare completamente l'accesso all'API REST di WordPress?
Se non viene usata è buona norma bloccarla perché in passato è stata un veicolo di attacco.
-
Se si configurano i permessi del filesystem in read only, come si gestiscono gli aggiornamenti di WordPress e relativi plugin?
Come detto al corso sarebbe una ottima pratica però aggiunge la scomodità di dover rimettere il filesystem in scrittura ogni volta che si effettua un’operazione di aggiornamento.
-
È consigliato utilizzare il file .htaccess per proteggere il wp? Se sì, è possibile avere un esempio di file da voi consigliato che possa bloccare la pubblicazione della versione php e wp, il tema utilizzato e relativi plugin, l'utente admin, il file rpc, ecc?
Questo è un esempio di file .htaccess che blocca una serie di files con i commenti preceduti dal carattere “#”. È possibile utilizzarlo anche in pezzi o modificarlo all’occorrenza.
Per nascondere le versioni invece esistono dei plugin che possono essere utilizzati ma, a nostro avviso, si tratta della cosiddetta “security through obscurity” e risulta sicuramente più efficace tenere aggiornata la propria versione di WordPress ed i relativi plugins e temi.
-
Come si scansionano plugin o temi WordPress prima di pubblicarli?
Esistono vari plugins di WordPress che si occupano di queste attività, chiaramente la scelta del plugin deve essere adattata alle proprie esigenze e agli altri plugin installati:
https://it.wordpress.org/plugins/tags/malware-scanner/
https://it.wordpress.org/plugins/sucuri-scanner/
-
Come si attiva l'autenticazione a due fattori su cPanel?
Ecco gli step da seguire per attivare l'autenticazione a due fattori su cPanel:
- Effettuare il login sul proprio cPanel
- Cliccareare sull’icona “two-factor authentication” nel menù “Sicurezza”
- Cliccare sul bottone “Set Up Two-Factor Authenticator”.
- A questo punto viene mostrato un QR Code che possiamo inquadrare con la telecamera del nostro cellulare per aggiungerlo al nostro Google Authenticator.
-Successivamente ci verrà richiesto il codice di verifica (questa operazione serve per verificare che l’operazione è andata a buon fine prima di attivare definitivamente la 2FA sull’account)
- Una volta cliccato sul bottone “Configure Two-Factor Authentication” l’account cPanel avrà configurato la 2FA e ad ogni login verrà chiesta la password e il codice presente sul Google Authenticator. -
È indispensabile cambiare il puntamento del login al backend di WordPress (non /wp-admin per intenderci)?
Non è indispensabile ma rappresenta una misura di sicurezza contro attacchi di tipo brute force che, essendo perlopiù eseguiti da bot, prendono di mira indirizzi standard noti.
-
Le password generate automaticamente (ad esempio su piattaforma PLESK), sono sicure? Generalmente sono generate con numeri, caratteri speciali, maiuscole ecc
Gli strumenti di generazione automatica delle password si basano solitamente su algoritmi che rispettano i criteri minimi di sicurezza di struttura, di semplicità e di identificazione della password.
La sicurezza complessiva dipende anche da ulteriori fattori che soltanto l’utente stesso è in grado di controllare, primo fra tutti la sua unicità quindi seppur sufficientemente robuste le password generate automaticamente possono essere poco sicure se l’utente le utilizza per più account.
È importante in ogni caso ricordare che il livello di robustezza una password generata automaticamente è limitato dalla lunghezza di quest’ultima e può esser sempre migliorato aggiungendo caratteri secondo le regole discusse.
-
Per la protezione dei nostri siti WordPress utilizziamo Wordfence. Può essere sufficiente? Mentre per l'applicazione dei security headers utilizziamo GD Security Headers. Va bene?
Si tratta di due soluzioni che, usate insieme, permettono di implementare e di gestire in maniera centralizzata diverse misure di sicurezza tra quelle discusse nei webinar.
Nel caso di Wordfence, come per molte soluzioni commerciali, il set di funzionalità di sicurezza disponibili dipende dalla versione utilizzata (free, premium etc..)
A meno che non si attivino servizi managed, non permette però di gestire tutte le configurazioni di sicurezza descritte nel corso dei Webinar.
-
Esistono strumenti per generare password robuste?
Si, esistono molti tool, commerciali o free, per la generazione di password robuste che permettono anche di impostare il livello di alcuni parametri di robustezza come ad esempio la password.
Come discusso nel webinar suggeriamo di verificare la disponibilità di tali strumenti quali funzionalità offerte dalla soluzione antivirus/antimalware o EDR installata sui propri client.
Relatori
Ogni corso online viene organizzato e preparato da un gruppo di esperti del settore. Professionisti del web interni all’azienda e specialisti esterni collaborano per offrire i migliori spunti e i materiali più utili sul tema affrontato.
Alessio Rossi - Security & Compliance manager
Sviluppo, implementazione e mantenimento di politiche e programmi di gestione della compliance e della sicurezza aziendale in Register.it.
Daniele Melosi - Service Management Manager
Amministrazione, gestione e supporto all'infrastruttura IT e ai servizi di rete di Register.it. Verifica del corretto funzionamento dei sistemi hardware e software aziendali.
Diventa Business Partner
Vuoi ottenere la certificazione ed entrare a far parte della nostra "Web Agency Network"? Diventa un nostro Business Partner!
Il programma Business Partner di Register.it si rivolge ad agenzie e professionisti del web in tutta Italia: consulenti IT, web agency, software house, web developer e designer, agenzie di comunicazione e web marketing.
Siamo sempre al tuo fianco per farti crescere
Eccezionale!
Siamo a tua disposizione tutti i giorni dalle 9 alle 18
