Archivio Tag: sicurezza

L’amministrazione di WordPress in sicurezza con SSL

Sicurezza di WordPress

Sarebbe buona regola proteggere tutte quelle parti di un blog/sito in cui è richiesta una registrazione. Una di queste protezioni è l’utilizzo di SSL. Poi c’è chi, come il sottoscritto, predica bene e razzola male. Ma sto rimediando… 😉

Se un servizio di SSL è attivo sul server web, esempio OpenSSL che è il più diffuso con Apache, è possibile effettuare una piccola modifica a WordPress affinché la pagina di login o tutte le pagine dell’amministrazione del blog siano costrette ad usare il servizio SSL disponibile.

Tutto questo, si intende, dopo aver  installato un certificato SSL valido, acquistato o autoprodotto che sia. Se non lo avete, una facile ricerca su San Google sarà di grande aiuto.

Occorre modificare il file di configurazione di WordPress (wp-config.php) aggiungendo una di queste due istruzioni:

define('FORCE_SSL_LOGIN', true);

define('FORCE_SSL_ADMIN', true);

La prima forza l’uso di SSL solo per la pagina di login. La seconda per tutta la parte amministrativa del blog.

La seconda è da preferire, a mio avviso.

Se il blog si appoggia ad un pannello di controllo come Plesk, e nella configurazione del dominio se le pagine SSL e non fanno riferimento allo stesso percorso, probabilmente non ci sarà bisogno di fare niente altro (il condizionale è d’obbligo perché il pannello di controllo e le funzioni rese disponibili agli utenti potrebbero essere personalizzate).

Se invece ci si appoggia ad un Apache nudo e crudo, dando per scontato che OpenSSL sia installato come di solito è occorrerà predisporre opportunamente delle regole di rewrite nel file di configurazione del virtualhost o nel file .htaccess, affinché le pagine di amministrazione (/wp-login.php e tutto il percorso /wp-admin/*) vengano rimandate dal normale http:// a https://.

Un po’ come succede se provate ad accedere alla pagina di login di questo blog: https://robrota.com/wp-login.php

Altre informazioni, compresi alcuni esempi di regole di rewrite, li trovate in questa pagina dei codex di WordPress.

L’insostenibile sicurezza dei dati in rete

Dati personali in rete

Quanto si preoccupano gli utenti dei loro dati in rete e delle modalità con cui vengono conservati?
Poco, sembrerebbe. La recente violazione del PlayStation Network e relativo furto di dati ha evidenziato ancora una volta quanto, oltre alla sicurezza dei sistemi, sia da prendere in seria considerazione anche la sempre maggior crescente facilità con cui gli utilizzatori della rete affidano i propri dati personali, e le proprie carte di credito, in mano a strutture che, per quanto possano avere dei nomi altisonanti a garanzia, non possono certo offrire la sicurezza assoluta sulla non violabilità dei loro sistemi. Sony è solo il caso più recente, ma ha avuto illustri precedenti e non sarà certo l’ultimo.

La differenza di usi e costumi rispetto non molti anni addietro è sconcertante, dalla assoluta diffidenza riguardo i pagamenti su Internet, tanto da scoraggiare le attività commerciali in rete, agli estremi opposti di eccessiva facilità e fiducia, spesso senza alcun controllo sull’affidabilità e la proprietà dei sistemi.

Sconcertante l’età media, sempre più bassa, di chi dispone di una carta di credito per acquisti e, soprattutto, giochi on line, e la mancanza pressoché totale dell’esercizio di un controllo parentale nel caso di minori.

Ancora più sconcertante la scarsa attenzione, alle volte completa indifferenza, dei media di informazione tecnologica riguardo temi etici e sociali sull’utilizzo (e sugli utilizzatori) della tecnologia in rete quando si tratta di dati personali e dei soldi degli utenti. Quello che conta è che i servizi siano ripristinati e attivi nel minor tempo possibile, il resto non sembra affar loro. Businness docet.

“durante una conferenza stampa, il capo di PlayStation Kaz Hirai ha dichiarato che gli account di dieci milioni di utenti potrebbero essere compromessi, carte di credito incluse.
Si è saputo da subito che le carte di credito erano a rischio, ma questa è la prima volta che Sony dà numeri precisi riguardo agli account vulnerabili.”

Leggi tutto su Gizmodo IT.

“Ora la parola passa alla giustizia nel caso di furto dei dati ai danni del Playstation Network e di Qriocity, due servizi di Sony. I dati di 77 milioni di utenti carte di credito comprese sono stati compromessi. Gli utenti italiani interessanti in questo grave caso di “Data breach” potrebbero essere circa 1,5 milioni, di cui circa il 70% rientra nella categoria dei frequentatori abituali. I dati violati sarebbero: nome, indirizzo email, data di nascita, password, login e online ID del network, e perfino i dati della carta di credito utilizzata per gli acquisti online. Alcuni servizi di PlayStation Network e Qriocity torneranno a funzionare entro una settimana secondo il PlayStation Blog. I dati delle carte di credito sul database delle carte di credito erano cifrati, ma il caso del trafugamento finisce sotto inchiesta in tutto il mondo.”

Leggi tutto su: ITespresso.it.

WordPress in sicurezza: un plugin per limitare l’accesso agli amministratori del blog tramite controllo IP

WordPress e Sicurezza

Tra le tante possibilità per mettere in sicurezza un’installazione di WordPress ho trovato interessate un plugin, WP Login Security di Joshua Scott, che permette di limitare il login agli utenti amministratori solo da IP conosciuti, una sorta di whitelist per gli amministratori del blog basata sul controllo dell’indirizzo IP di provenienza.

Naturalmente questo plugin torna utile quando l’amministratore del blog dispone di un IP statico.

Non è l’unico plugin del genere, ed è pure un po’ “acerbo” come versione se vogliamo, ma mi è piaciuto per la semplicità.

WordPress in sicurezza: proteggere la configurazione

SicurezzaQualcuno mi disse che essere fanatici della sicurezza è tempo perso. Per certi versi è vero, o si è dei geni dell’informatica oppure la sicurezza è quasi un eufemismo. Qualcosina però possiamo fare nel nostro piccolo, come ad esempio proteggere da occhi indiscreti il file di configurazione di WordPress, wp-config.php, dove sono ricavabili informazioni delicate, come l’utente e la password del database.

Non c’è nulla di sicuro, fatto salvo forse una mezza manciata di certezze esistenziali, comunque discutibile. I server web in particolare non sono sicuri, possono esserlo in modo ragionevole a seconda di chi li mantiene.
Non preoccupiamoci dei server, almeno in questa fase, diamo per scontato che il nostro amato blog risieda su una piattaforma più sicura possibile, gestita da un amministratore di sistema consapevole e premuroso, preoccupiamoci solo della nostra installazione di WordPress.

WordPress è un CMS molto diffuso e apprezzato, condizione che però riguarda anche chi cerca di violarlo per far danni o per puro (misero) divertimento. È una legge ben nota dell’informatica: più un prodotto è noto, sistema operativo o software  che sia, più sono gli hacker che cercano di scoprirne le vulnerabilità, maggiori sono i rischi che queste scoperte si trasformino in tentativi di violazione. Anche casuali, così per il gusto di farlo…

Personalmente non ho mai avuto grossi problemi di sicurezza con WordPress (sgrat sgrat!). Di tanto in tanto leggo di qualche falla, risolta in tempi tutto sommato rapidi, ed il più delle volte quando ne sono venuto a conoscenza avevo già aggiornato WordPress alla versione successiva, in cui la falla è stata tappata.

Però è sempre bene fare il possibile affinché la nostra installazione sia il più sicura possibile, si tratta di poche cose da applicare facilmente, come i permessi alle cartelle, il prefisso delle tabelle del database, l’uso di password difficili etcetera etcetera…

Volendo fare i precisini possiamo cercare di proteggere il nostro file di configurazione, wp-config.php, affinché sia maggiormente distante da occhi discreti.
Il file in questione è già abbastanza protetto di suo, difficile che qualcuno riesca a guardarci dentro, ma se proprio vogliamo darci un’ora di sonno tranquilla in più possiamo barricarlo grazie ai permessi del server web.
Ecco come fare. Continua a Leggere →

WordPress, versioni non aggiornate in pericolo?

WordPress hackers attack

L’amico Paolo (grazie!) mi segnala la possibilità che vi sia un attacco in corso e che a farne le spese siano principalmente le versioni non aggiornate di WordPress. A quanto pare il numero dei blog violati cresce di ora in ora, gli amministratori di blog sono caldamente invitati a prendere immediati provvedimenti.
Vediamo quali sono le prime misure di sicurezza da adottare.
Continua a Leggere →

Ciao, come posso aiutarti?
Powered by