Archivio Tag: Sicurezza WordPress

WordPress è meno sicuro?

WordPress meno sicuro e instabile?

L’ultima grande vulnerabilità di WordPress ha causato non pochi problemi, una moltitudine di siti violati con fastidiosi defacement, e più voci in rete stanno mettendo in discussione la sicurezza del ben noto CSM.

C’è chi, come Gabriele Romanato, imputa questa nuova situazione alla frequenza troppo ravvicinata tra gli aggiornamenti, che non permetterebbe di valutare con le attenzioni dovute i pericoli di sicurezza.

Detta da Gabriele, che stimo per professionalità e capacità di analisi, tendo a dargli ragione. Non credo sia l’unico motivo, ma non sono certo io la persona più titolata a parlarne.

Ammesso e non concesso (per amor di patria) che WordPress sia diventato meno sicuro, più instabile, cosa bisogna fare? Continua a Leggere →

Anche Google ti consiglia di aggiornare WordPress.

WordPress è da aggiornare

Ancora qualche dubbio, per caso, che l’aggiornamento di WordPress 4.7.2 sia molto importante per la sicurezza?

Se non hai ancora aggiornato il tuo sito, e se lo hai registrato su Google Search Console (ex Webmaster Tools), ti arriva una bella mail direttamente da Google ad avvisarti che stai usando una versione molto pericolosa di WordPress.

Utente WordPress avvisato, utente mezzo salvato, o no?

A dire il vero, le mail arrivano anche a siti già aggiornati all’ultima versione di WordPress, evidentemente dalla verifica alla notifica passa qualche giorno anche per i giganti come Google…

Non dire che non te l’avevo detto… (che aggiornamenti e manutenzione sono importanti)

Aggiornamenti e manutenzione per la sicurezza di WordPress

WordPress 4.7.2 risolve un grave problema di sicurezza, e altri un po’ meno gravi ma pur sempre importanti, Sucuri lo spiega molto bene, seppur in inglese.

Poi c’è l’uso scriteriato di temi e plugin per nulla affidabili, poco testati, o che non vengono più aggiornati da anni.

Aggiungici pure hosting economici, ed installazioni effettuate senza nessuna attenzione alla sicurezza, ed il quadro è (quasi) completo.

Siti aziendali, realizzati da professionisti del settore come dai cugini di turno, abbandonati a se stessi una volta messi on line.

Manutenzione?

Ma quando mai, almeno finché il sito non te lo bucano, o quando l’e-commerce smette di funzionare. Continua a Leggere →

I siti non sicuri secondo Google, se ne parla sulla Newsletter.

Newsletter WordPress e WooCommerce

Ultimo comandamento di Goole: tutti i siti devono andare in HTTPS.

Nella newsletter di ieri abbiamo cominciato ad affrontare la questione dei siti non sicuri, quelli senza il lucchettino verde per capirci, che Google a quanto pare ha deciso di mettere alla gogna.

Se ne discute in rete, e sembra proprio che dalla versione 56 di Chrome, prevista alla fine di gennaio, i siti sprovvisti di un certificato SSL valido (ovvero i siti il cui indirizzo comincia per http e non https), si ritroveranno a fianco dell’URL una bella dicitura “NON SICURO”, bene evidenziata in rosso.

Una gogna vera e propria, per certi aspetti, considerando la diffusione di Google Chrome, e chissà se gli altri browser seguiranno l’esempio, ma a prescindere da questo mettere il proprio sito in sicurezza è comunque importante.

Il problema, ormai, è per chi il lucchettino verde non ce l’ha. Continua a Leggere →

La sicurezza di WordPress, aneddoti del venerdì.

Aneddoti problemi di sicurezza WordPress

Un paio di aneddoti, freschi di giornata, un paio di telefonate ricevute stamattina di gente disperata che ha trovato il mio recapito su queste pagine, cercando una soluzione ai loro problemi.
Questo venerdì inizia davvero bene…

WordPress Security, Case History 1

Un tale mi chiama disperato di buonora, proprio mentre stavo sorseggiando il caffè.
Gli hanno sicuramente bucato il suo sito, rimanda ad una pagina sconosciuta, mi dice lui nel panico. Si tratta di un e-commerce, i suoi soci sono incazzati neri e deve risolvere tutto prima possibile.

Apro il browser all’indirizzo del sito e mi scappa da ridere.

Per fartela breve, non aveva rinnovato il nome di dominio alla scadenza perché al momento della registrazione aveva indicato una mail di libero.it, che poi nel frattempo ha cambiato, e non ha mai ricevuto gli avvisi di scadenza del dominio.

WordPress Security, Case History 2

Poco dopo mi chiama una seconda persona, che si collega regolarmente al suo sito WordPress ma il suo utente amministratore non è più tale, non può più modificare niente.

Lui è uno attento alla sicurezza, mi dice, tanto da aver installato diversi plugin per mettersi al riparo.

Guardo nel database, e in effetti l’utente indicato è effettivamente un utente amministratore, ma di fatto non si comporta come tale.

Guardo nei file e verifico che davvero ha installato numerosi plugin per la sicurezza, praticamente tutti quelli che ha trovato, incurante del fatto che alcuni erano abbandonati da anni.

Guardo meglio, e scopro che i permessi di file e cartelle sono assolutamente sballati, molte cartelle hanno i permessi a 777, aperti cioè a tutto il mondo, chiunque poteva metterci dentro qualsiasi porcheria.

E difatti, in giro per il sito trovo numerosi files e cartelle che non dovrebbero esserci, files che rimandano a siti di e-commerce di farmaci sudamericani e numerose altre porcherie.

Violazioni che, a giudicare dalle date, sono state numerose negli ultimi anni (nonostante una dozzina di plugin per la sicurezza…)

Questo venerdì inizia davvero bene…

I love Instagram