Home › Forum › Problemi Vari con WP › Aumentare la sicurezza del blog
-
AutorePost
-
-
31 Maggio 2011 alle 9:46 #18047bacoPartecipante
Salve ragazzi, ho provato a cercare informazioni su come aumentare la sicurezza del blog (oltre ad aggiornare sempre il software) e spesso trovo sponsorizzati sempre gli stessi plugin, vorrei chiedervi quindi se sono utili veramente, se ne fate uso oppure non servono a nulla.
Ad esempio Stealth Login (dovrebbe cambiare l’url di wp-admin con uno a piacimento), Login LockDown (dopo tot tentativi con la pass l’ip viene bloccato e registra i vari tentativi), AskApache Password Protect (chiede un’altra autenticazione http).
Voi ne fate uso o avete altro da consigliarmi?
-
31 Maggio 2011 alle 10:34 #85041zhenyaPartecipante
Ogni plugin serve in qualche modo a rallentare WordPress ed a fargli consumare più memoria; la cosa più importante è assicurarsi di avere i corretti permessi di file e cartelle:::
http://codex.wordpress.org/Changing_File_Permissions
Seguendo le guide del proprio host, se fornite, o informandosi meglio aprendo un ticket (molti host gestiscono i permessi in automatico e non c’è da intervenire, meglio però saperlo).
Fase successiva; blindare il proprio blog con tre regole da scrivere nel file .htaccess. Queste tre regole con l’aggiunta di una quarta (facoltativa ed utile a limitare l’uso della memoria evitando l’hotlinking), credo che presto saranno pubblicate nel blog di WordPress Italia.. Tutto è gia nelle mani di SteveAgl, abbi panzienza qualche giorno.
Infine i plugin che vanno a chiudere il cerchio aggiungendo altra sicurezza sono 3, li cito in ordine di importanza: Secure WordPress di Frank Bà¼ltge e da poco ereditato dalla WebsiteDefender, Login LockDown di Michael VanDeMar, AntiVirus di Sergej Mà¼ller.
Dai nomi degli autori dei plugin si comprende, come vado dicendo da tempo, che i tedeschi con il codice se la cavano sempre meglio.
-
31 Maggio 2011 alle 11:27 #85042bacoPartecipante
Ciao zhenya grazie per la risposta Aspetterò l’aggiornamento di SteveAgl allora.
Intanto ho installato i tre plugin che hai segnalato.
Con AntiVirus alcune pagine del template durante lo scan sono state segnalate in rosso, sottolineando in giallo la parola “Include” delle seguenti stringhe:
<?php include (TEMPLATEPATH . ‘/sidebar1.php’); ?>
include (TEMPLATEPATH . “/searchform.php”);
E’ grave?
-
31 Maggio 2011 alle 11:57 #85044zhenyaPartecipante
No non è grave, ma normale. Devi fargli ancora uno scan e dirgli di non controllare più quei 2 valori. Poi lo configuri per lo scan giornaliero e l’avviso via email; da quel momento se avverranno modifiche al template lui ti avvisa.
-
17 Luglio 2011 alle 20:41 #86595bacoPartecipante
Salve ragazzi, scusate se riuppo la discussione, ma oggi ho notato che in Login Lockdown risulta un Ip bloccato. Posso fare qualcosa data la situazione? Nel senso gli ip che Login Lockdown blocca automaticamente possono bloccarli in qualche modo o essendoci proxy e ip variabili è inutile?
ps zhenya l’articolo sul file .htaccess è disponibile? Forse me lo sono perso strada facendo per quanto controlli regolarmente l’homepage.
-
17 Luglio 2011 alle 22:04 #86597zhenyaPartecipante
Agli indirizzi ip che Login Lockdown blocca non ho mai fatto particolarmente caso.. Se non ricordo male il plugin blocca la connessione per chi fa più di un certo numero di tentativi di login sbagliando nell’arco di pochi secondi (di default 3, ma configurabile come si desidera); idem se si tentano più iscrizioni con lo stesso ip. Il blocco è a scadenza, cioè si dovrebbe svuotar da se la lista dopo un certo tempo (forse anche detto tempo è configurabile, ma non ricordo).
Per l’articolo aspettiamo che Steve ci illumini.
-
20 Luglio 2011 alle 15:13 #86715bacoPartecipante
Okay grazie mille, attenderò al varco l’articolo
Ho aumentato per sicurezza il tempo da far passare dopo tot login sbagliati in login lockdown. Vedrò se insistono.
ps vorrei chiedere una cosa molto stupida…posso cancellare dall’ftp i file readme/leggimi (dove ci sta scritta la versione di WP)? I file licenza invece?
-
20 Luglio 2011 alle 17:27 #86721zhenyaPartecipante
Ti riferisci ai file nella root e quindi di WordPress? A cosa serve cancellarli, non ne vedo l’utilità ; spiegaci meglio. Comunque poi ad ogni aggiornamento ritornerebbero.
-
20 Luglio 2011 alle 21:57 #86736bacoPartecipante
Perdonami nella mia ignoranza pensavo potessero essere raggiungibili in qualche modo.
Intanto come gli è scaduto il tempo il tipo ha subito riprovato a connettersi…immagino utilizzino qualche software.
Non so in questi casi come funziona se ad ogni tentativo scoprono parte della password o no.
-
21 Luglio 2011 alle 6:58 #86738zhenyaPartecipante
Per la sicurezza dell’installazione l’importante è impostare le secret-key nel file wp-config.php. Come scrissi tempo fa’, capita spesso di installare WordPress dal pannello del proprio host oppure si proviene da una vecchia versione aggiornata nel tempo; in questi due casi il wp-config andrebbe rifatto, poiché il primo non avrà le suddette secret-key impostate, ed il secondo non ne conterrà 8 ma 6 o addirittura soltanto 3, questo dipende da quanto è anziano il file config.
Importante: Non fare l’upgrade del plugin Secure WordPress appena rilasciato poiché vedo che in molti dicono non funziona. Nel repository ha guadagnato 48 broken e molte richieste di supporto::: http://wordpress.org/extend/plugins/secure-wordpress/
-
21 Luglio 2011 alle 8:56 #86744bacoPartecipante
Grazie, il mio file ne ha 8. Già che ci sono: periodicamente conviene aggiornarle (se posso farlo) o non ha senso e conviene aspettare nuovi aggiornamenti del wp-config?
ps grazie purtroppo lo avevo già aggiornato Confermo l’errore, fortunatamente cancellando il plugin dall’ftp e riprendendolo dal backup ho risolto.
-
21 Luglio 2011 alle 9:59 #86746zhenyaPartecipante
Se ne ha 8 significa è corretto. Il file wp-config.php non viene aggiornato da WordPress; chi si aggiorna è il suo omologo wp-config-sample.php, quello che si usa, rinominandolo, per creare il nostro config. Sarebbe bene quindi, ogni un po’ di tempo, andare a vedere il contenuto del sample e confrontarlo con l’altro per capire se è cambiato qualcosa.. In caso affermativo allora possiamo rifare un nuovo config, oppure aggiornare quello in uso prendendo il codice dal sample.
Non vedo utile aggiornare periodicamente le secret-key, ma nulla vieta di farlo; ovviamente in quel preciso momento chiunque sia loggato nel sito dovrà rifare il login giacchè il vecchio cookie non sarà più valido. Sostituire le secret-key è invece un sistema nel caso di attacchi in massa per sloggare tutti gli utenti; cosa assai rara per un normale blog, ma che può succedere in siti molto famosi e visitati.
-
21 Luglio 2011 alle 14:19 #86767bacoPartecipante
Okay grazie, allora mi ricorderò di controllarlo per vedere eventuali modifiche tra un aggiornamento e l’altro.
Ho notato che hanno aggiornato Secure WP con un ulteriore release per sistemare quel bug. Ho scaricato l’upgrade però ora sulla destra nella sua schermata (quella dove selezionare le opzioni del plugin) mi esce scritto sulla destra “Invalid JSONRPC response [0]. If the problem persists please continue at Website Defender.” devo preoccuparmi o riguarda un collegamento a website defender al quale non sono registrato?
Ho dato uno sguardo al loro sito, in particolare a questa news dove consigliano di cambiare i prefissi alle voci del database: http://www.websitedefender.com/wordpress-security/wordpress-database-tables-prefix/
Conviene farlo?
Grazie ancora, buona giornata
-
21 Luglio 2011 alle 15:46 #86770zhenyaPartecipante
Post duplicato
-
21 Luglio 2011 alle 15:46 #86773zhenyaPartecipante
Semplice. Non aggiornare ed aspetta che risolvono i problemi con il codice. Secure WordPress era di Frank Bà¼ltge ed è stato ereditato dalla WebsiteDefender; non so se saranno all’altezza del precedente autore.. Staremo a vedere.
Per le tabelle del database meglio averle non con il semplice “wp_”
Ne avevamo discusso qualche mese fa ed avevo scritto come esattamente operare nel db quel cambiamento. Attenzione perché in Rete ho letto alcuni blog, italiani e non, che sbagliano nel fornire istruzioni; non chiariscono bene come andare a sostituire i richiami internamente ad alcune tabelle. Modificare il database, quando non si sa esattamente dove e come mettere le mani può essere fatale. Lo stesso sito che hai segnalato linka una pagina interna incompleta delle esatte istruzioni e se dovessimo seguirle ci troveremo poi impossibilitati a loggarsi nel sito; sia noi sia tutti gli altri utenti.
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.