GoalWeb

Ti trovi qui: Home / Archivi per Sicurezza

Sicurezza

by

Aggiorna WordPress, Plugin e Template

come-installare-wordpress-il-template-ed-i-plugin

Per garantire al tuo sito una maggiore sicurezza, aggiorna sempre sia il “core” di WordPress che i singoli plugin o temi di terze parti.

Ogni nuova versione, infatti, oltre che implementare eventuali nuove funzioni, certamente chiude delle “falle” (i cosiddetti “bug“) nella programmazione del codice.

Anche i template posso avere delle falle quindi vanno sempre tenuti aggiornati.

Gli aggiornamenti automatici

Per default, dalla versione 3.7 in poi, il tuo sito WordPress si aggiornerà automaticamente quando viene rilasciata una release minore. Questo significa che se utilizzi WordPress 3.7.0 e viene rilasciata la versione 3.7.1 l’applicazione si aggiornerà da sola. Se invece venisse rilasciato WordPress 3.8 (una versione “major”), per default dovrai aggiornarlo manualmente.

E’ però possibile, modificare il file wp-config.php per autorizzare anche gli aggiornamenti “major”. Una procedura sconsigliata poiché per tali importanti aggiornamenti è suggerito, prima di procedere all’operazione, di predisporre un backup completo del sito e del data base.

Siteground spiega come intervenire sul codice.

Esistono plugin e servizi che svolgono il lavoro di aggiornamento per conto tuo, così che tu non debba avere il pensiero di verificare frequentemente l’uscita di nuove versioni di quanto da te installato.

Uno dei più sicuri mi sembra il servizio dell’ISP Aruba denominato “Hosting WordPress Gestito” che, con la versione smart costa 79 euro annui, oltre IVA, ovvero circa 40 euro annui in più del basico servizio di hosting.

Con la versione 5.5, WordPress, tuttavia, ha previsto, per l’amministratore del sito, la possibilità di attivare l’aggiornamento automatico dei singoli plugin e temi direttamente dal cruscotto amministrativo di WordPress.

Un risparmio, quindi, in termini di tempo e costi.

Naturalmente gli aggiornamento automatici, i cosiddetti “aggiornamenti non presidiati“, nascondono le proprie insidie. Tuttavia, tra il rischio di un sito bloccato temporaneamente per un aggiornamento non andato a buon fine e quello di mantenere, per un ritardato aggiornamento, una vulnerabilità sfruttabile da un hacker è preferibile scegliere il primo.

In proposito, il blog di Wordfence propone in merito un interessante post.

In particolare, vi si spiega che gli aggiornamenti automatici in WordPress 5.5 hanno solo l’opzione “off” o “on”. I proprietari del sito non avranno la possibilità di selezionare diversi tipi di aggiornamenti, come ad esempio applicare solo gli aggiornamenti di sicurezza, o solo l’aggiornamento per le versioni minori.

In caso di “aggiornamenti non presidiati” sarebbe importante determinare “cosa è cambiato”. Ogni volta che si verifica un problema nelle operazioni IT, la prima domanda da porsi quando si cerca di risolvere il problema è “Cosa è cambiato?“. Se si sono verificati due o più aggiornamenti non presidiati, sono cambiate più cose e può diventare molto più difficile isolare la causa alla radice del problema.

Per tale motivo, ti suggerisco, a questo punto, tanto di autorizzare gli aggironamenti automatici quanto di installare un plugin che svolga questo lavoro di Audit.

A tale proposito, anche per non rallentare il sito, è sempre meglio limitare il numero dei plugin installati. I plugin sono, probabilmente, il punto più critico della sicurezza di WordPress, in molti casi ve ne sono alcuni che creano backdoor o comunque aprono le porte ad utenti malintenzionati.

Come per i plugin, il nostro sito deve avere installato solo temi che usiamo. Ogni sito WordPress può avere, ovviamente, solo un tema attivo; oltre ad esso lascia installato soltanto un altro tema perché in caso di emergenza può rilevarsi utile.

by

Ecco come mettere in sicurezza la nostra username

effettua-un-test-di-controllo

Sai bene cos’è la “password”.  Sicuramente saprai pure che deve essere lunga almeno otto caratteri, alfanumerica e con presenza di caratteri speciali e non deve contenere parole tratte da dizionari e, soprattutto, che deve essere tenuta nascosta. Mi domando, invece, se pensiamo all’username.

Pensiamo che l’eventuale malintenzionato attaccante che carpisce l’username dell’Amministrazione del nostro sito web è già ben oltre metà dell’opera per guadagnare un pericolosissimo illecito accesso?

L’attacco Brute Force

Un attacco “Brute Force” è un metodo semplice per ottenere l’accesso a un sito web. Tramite appositi programmi e opportuni dizionari, si ricercano nomi utente e password più e più volte fino a quando li si ottiene.

Tale metodo è considerato “poco elegante”, esso risulta molto efficace quando le persone usano password semplici come “123456” o nomi degli utenti standard come “admin”.

Un cracker che guadagna l’accesso al tuo account amministratore è in grado d’installare script dannosi che possono potenzialmente compromettere l’intero server.

Il problema dell’enumerazione degli utenti

Contro questa frequente forma di attacco al CMS WordPress è quindi necessario non dimenticare di difendere anche l’username.

Tra i vari accorgimenti indispensabili c’è quello di rendere illeggibile l’username.

L’eventuale attaccante, infatti, con appositi “scanner” (WPScan, ad esempio), ottiene facilmente quella che viene chiamata “enumerazione degli utenti” ovvero è in grado di conoscere l’elenco degli autori di articoli sul dato sito (e quindi il codice “numero utente” e gli “username).

Tale risultato è ottenibile anche manualmente con una semplice procedura: è sufficiente aggiungere il codice “?author=n” (dove “n” è un numero da 1 in poi) dopo l’indirizzo (URL) del sito da controllare.

In realtà, per conoscere un autore (e quindi un “Username”) è sufficiente passare il mouse sul “soprannome” (nickname) dell’autore dell’articolo e leggere il relativo “username” che appare sull’etichetta collegata.

Per questo motivo, per ragioni di sicurezza cioè, è assolutamente vietato pubblicare alcunché (articoli, ecc) a firma dell’utente in possesso delle credenziali di “Amministratore” sull’installazione corrente di WordPress.

Come difendersi dall’enumerazione degli utenti

La soluzione contro gli scanner per rendere invisibili gli Username è dietro la porta:

È possibile, semplicemente, aggiungere questo codice nel file .htaccess per bloccare autore cerca di enumerazione.

# Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://yoursite.com/somepage/? [L,R=301]

Ciò va inserito all’interno dei tag:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

….

</IfModule>

E dove, naturalmente, “http://yoursite.com/somepage/” è la pagina su cui vuoi che vada chi ha effettuato la ricerca “?author”.

Ora siamo sicuramente più tranquilli.

by

App IOs infette: Milioni di password a rischio

apple-app-store

La notizia è di pochi giorni fa: l’App Store Apple ha subito il più grande attacco della sua storia.

Una versione, modificata con l’inserimento di codice malware, è stato scaricata, attraverso Baidu, il motore di ricerca utilizzato in Cina. Di conseguenza dozzine d’applicazioni dannose sono scivolate nel negozio di Apple.

La società Apple ha reso pubblica la lista degli attuali venticinque applicazioni più popolari che sono state colpite. Alcune hanno milioni di utenti come Angry Birds 2 o WeChat.

We-Chat

Apple sostiene di aver rimosso da App Store tutte le applicazioni interessate.

As soon as we recognized these apps were using potentially malicious code we took them down. Developers are quickly updating their apps for users.

Malicious code could only have been able to deliver some general information such as the apps and general system information.

Il software dannoso sarebbe stato programmato per raccogliere, sugli apparecchi infetti, informazioni quali password per l’accesso alle banche online, a riportarlo il quotidiano cileno “El Ciudadano”.

L’esperienza dovrebbe insegnare ai possessori di smartphone a non scaricare software da siti non ufficiale e a comprendere che sono in possesso di un vero e proprio computer con tutti i lati positivi (le prestazioni e i servizi) e negativi (i virus).

In sostanza, per ogni utilizzatore di smartphone, è da considerare indispensabile l’installazione di un buon antivirus (antimalware) sul proprio apparecchio ed effettuare frequenti scansioni sulle “app” presenti specie se si è abituato a scaricare spesso nuove applicazioni.  

by

Gli Zombie sono fra noi:‭ ‬il sito che stai visitando è già infetto‭?

zombie

I siti Web che quotidianamente visitiamo per informarci sono sicuri‭?

Non parlo delle credibilità o meno delle notizie pubblicate ma del rischio di contrarre un’infezione sul nostro personal computer con conseguente possibilità di offrire, a qualche malintenzionato, i nostri dati sensibili‭ (‬password di accesso a servizi di posta elettronica o di home banking,‭ ‬ad esempio‭) ‬o le nostre foto personali e riservate.

Il comune utente di Siti Web forse non si pone la domanda,‭ ‬forse non sa che qualora un sito da lui visitato fosse‭ “‬compromesso‭” ‬sul lato della sicurezza potrebbe contenere ‬al proprio interno, ‬un virus che, lavorando in maniera silente, potrebbe trasmettere il codice malevolo sul computer dell’utente.

‭«‬Il‭ ‬44%‭ ‬dei PC italiani vengono attaccati da malware durante la navigazione in Internet‭»‬.‭ ‬Tanto riporta‭ ‬Clusit, l’associazione italiana per la sicurezza informatica.

Quanta gente visita siti Web‭ ‬senza sapere i rischi che corre,‭ ‬quindi‭?

Ho provato a rispondere alla domanda sulla sicurezza dei siti Web ‬svolgendo una piccola indagine ‬e fruendo anche della collaborazione di‭ ‬Sucuri, una delle maggiori aziende mondiali del settore.

Ho esaminato, i siti Web della mia città,‭ ‬Trapani. In particolare, ‬‬quelli dei principali organi d’informazione online e quindi dove,‭ ‬quotidianamente,‭ ‬si recano migliaia di concittadini per aggiornarsi sui comunicati emananti dai vari politici.

Ecco un breve report di quanto rilevato.

Dei sette siti Web considerati‭ (‬TrapaniOggi,‭ ‬Tvio,‭ ‬Gazzetta Trapanese,‭ ‬SocialTP,‭ ‬MonitorTP,‭ ‬Notizia Trapanese,‭ ‬TrapaniPiù‭)‬,‭ ‬si è rilevato che sei sono‭ ‬realizzati col CMS Oper Source‭ WordPress e sfruttando le potenzialità di programmazione standard.

Solo uno, MonitorTP, risulta personalizzato dal programmatore professionista che l’ha curato.

Per il resto il panorama non è rassicurante al‭ ‬100%.

Il Malware‭? ‬Per Sucuri, il sito Tvio è infetto

TVIO

La notizia ci sorprende e preoccupa.‭ ‬Secondo l’azienda americana‭ ‬“Sucuri”,‭ ‬Tvio sarebbe‭ “‬compromesso‭”‬.‭ ‬

Il giornale online di Bettio Tancredi presenta,‭ ‬al proprio interno un codice i-frame che risulterebbe‭ “‬strano‭” ‬alla scansione di Sucuri.

Abbiamo contattato l’editore del giornale che ci ha fornito le proprie plausibili spiegazioni.‭ ‬Nessun Malware,‭ ‬solo uno strano codice che pubblica su Tvio una pagina invisibile che fa riferimento al sito di una Web Agency‭ (“‬BizUp” di Roma) che vende articoli “redazionali” tramite il servizio “UpStory”.

Questo il codice rilevato su Tvio:

<iframe style=”display: none; visibility: hidden;” src=”http://upstory.it/t.aspx?pID=1273″ width=”0″ height=”0″>

Questo non è il codice di un “virus”. Ma, in ogni caso, scorrettamente, a nostra insaputa, carica una pagina Web apparentemente bianca ma che, in realtà, contiene un ulteriore piccolo codice dal valore criptato.

… <form name=”form1″ method=”post” action=”t.aspx?pID=1273″ id=”form1″>
<div>
<input type=”hidden” name=”__VIEWSTATE” id=”__VIEWSTATE” value=”/wEPDwULLTE2MTY2ODcyMjlkZK5JF3GF0qX1T/3unEGW6h2zQmz4z8yii+Cop3I5bKsX” />
</div>
<div>
    <input type=”hidden” name=”__VIEWSTATEGENERATOR” id=”__VIEWSTATEGENERATOR” value=”86B2391D” />
</div> …

Il Login:‭ ‬la porta d’accesso del sito è solo socchiusa

La prima fra le attività che suggerisce ai neofiti chi si occupa di sicurezza Web è quella di‭ ‬garantire l’inviolabilità del‭ “‬Login‭”, ovvero alla pagina Wp-Admin. Questa, infatti, consente l’accesso all’Amministrazione del sito. l primo suggerimento standard ‬è quello di disattivare l’utente «Admin».

Gazzetta-Admin

Tvio e La Gazzetta Trapanese,‭ ‬tuttavia,‭ ‬mantengono attivo l’utente con l’username‭ «‬Admin‭»‬,‭ ‬quello su cui,‭ ‬prima d’ogni altro,‭ ‬si concentra l’attenzione dell’eventuale malintenzionato.‭ ‬La Notizia Trapanese,‭ ‬invece,‭ ‬utilizza‭ «‬Redazione‭»‬,‭ ‬cui era facile giungere per facile logica atteso che siamo davanti ad un giornale.

In questi tre casi,‭ ‬con un cosiddetto attacco‭ «‬bruteforce‭»‬,‭ ‬ovvero con software robot che prova velocemente tutta una serie di possibili combinazioni secondo un dizionario già predisposto dall’attaccante,‭ ‬in alcune ore‭ (‬secondo la lunghezza della password‭) ‬è possibile accedere all’Amministrazione del sito e creare eventuali danni,‭ ‬anche irreversibili,‭ ‬agli archivi.

Il problema di questi,‭ ‬e molti altri siti Web,‭ ‬è quello di attribuire a dei redattori una‭ “‬username‭” ‬di accesso al‭ “‬Login‭”‬.‭ ‬In questa maniera,‭ ‬con dei semplici tentativi di‭ “‬ingegneria sociale‭” ‬è possibile recuperare,‭ ‬in maniera semplice,‭ ‬la prima metà del codice di accesso all’Amministrazione del sito Web.

SocialTP sembra aver attivato,‭ ‬invece,‭ ‬un software che blocca gli accessi.‭ ‬TrapaniPiù richiede l’abilitazione dei‭ «‬Cookies‭»‬.‭ ‬Meglio di tutti TrapaniOggi,‭ ‬invece,‭ ‬che ha cambiato l’indirizzo della pagina di Login standard‭ (‬/wp-admin.php‭)‬.

Lo stile grafico‭ del sito? ‬Il Re è nudo

Una veloce osservazione del codice HTML dei siti Web della mia indagine,‭ ‬mi regala una piccola chicca.‭

Qual è lo stile grafico scelto da ogni sito‭ Web esaminato?

  • Per TrapaniOggi il‭ “‬template‭” ‬è‭ “‬Advanced Newspaper” uno stile professionale scritto dalla GabFire;
  • La “Notizia” opera con “Linepress” sempre di GabFire;
  • SocialTP si accontenta di “Imag-Mag”, software gratuito che non viene aggiornato dal maggio 2013 e che quindi – avvisa lo stesso distributore WordPress.org – può soffrire di errori di compatibilità con le successive versioni della piattaforma WordPress;
  • “La Gazzetta Trapanese” si affida al gratuito “Fastnews”;
  • “TrapaniPiù”, infine, utilizza lo stile grafico professionale “Smart-Mag” di ThemeSphere e distribuito da una delle Aziende dei leader del mercato mondiale, ThemeForest.

Non sempre “gratis” è garanzia di qualità: il mancato supporto in termini di aggiornamento d’un‭ “‬template‭”, ad esempio, ‬è motivo d’insicurezza dello stesso.

Rischi l’infezione se WordPress e Plugin non sono aggiornati‭!

Il secondo pilastro per garantire la sicurezza ad un sito Web ed ai suoi utenti è quello di‭ tenere aggiornati tanto il software WordPress quanto i suoi plugin, ovvero i software accessori che ne aumentano le funzionalità.

Purtroppo,‭ si rileva che, stante che la corrente versione di WordPress è la‭ ‬4.3,‭ i siti Web dei nostri giornali online non risultano tutti aggiornati:

  • Alla Versione‭ ‬4.3‭ ‬sono aggiornati:‭ ‬solo‭ ‬TrapaniOggi e‭ ‬La Gazzetta Trapanese‭;
  • Utilizza ancora la versione‭ ‬4.2.4‭ (‬aggiornata al‭ ‬5‭ ‬agosto‭ ‬2015‭)‬:‭ ‬Tvio‭;
  • Sono fermi al ramo di sviluppo‭ ‬4.1‭ (‬versione‭ ‬4.1.7‭)‬:‭ ‬SocialTP e‭ ‬TrapaniPiù‭;
  • Risulta abbandonato alla storica versione‭ ‬4.0.7‭ (‬novembre‭ ‬2014‭)‬:‭ ‬La Notizia Trapanese.

Per “‬La Notizia‭”‬,‭ “‬TrapaniPiù‭” ‬e‭ “‬SocialTP‭”‬,‭ ‬l’azienda “Sucuri” indica come “critiche” le condizioni dei siti Web ‬a causa del mancato‭ ‬aggiornamento della versione della piattaforma WordPress.

Perché gli Amministratori non aggiornano il proprio software‭? ‬Per inerzia o forse perché utilizzano vecchi plugin o vecchi stili grafici,‭ ‬probabilmente incompatibili con la nuova versione,‭ ‬preferiscono, quindi, evitare l’aggiornamento e confrontarsi con la scelta di nuovi “template” o nuovi “plugin”.

I consigli contro i siti Zombie?

Quello di evitare di utilizzare questi siti poco curati sul lato della sicurezza (avrebbero dovuto, al minimo, seguire le linee guida proposte inCome mettere in sicurezza il tuo sito Web) è il consiglio che mi sento di offrire ai lettori.‭ ‬Si potrebbe rischiare, al contrario, di fornire proprie notizie riservate a qualche Cracker.

by

Perchè porre attenzione alla sicurezza del sito Web

zombie

«Il 44% dei PC italiani vengono attaccati da malware durante la navigazione in Internet». Tanto riporta Clusit, l’associazione italiana per la sicurezza informatica, nel proprio rapporto 2013, riprendendo un ulteriore rapporto Kaspersky riportato sul sito Securelist.com.

«Infecting legitimate sites is a trick that is the most dangerous for visitors and simultaneously the most effective for cybercriminals. One way or another, the cybercriminals gain access to a popular site and introduce minor modifications to its code. When a user visits the site … to intrude into the user’s computer. This attack takes place unobtrusively: as far as the user is concerned the site looks and works normally. … Thus, to achieve their goal, cybercriminals need to find just one popular application that is out of date», si legge su Securelist.

Stando allo studio, questo accade perché siamo particolarmente sprovveduti e poco attenti a proteggere i nostri cosiddetti dati sensibili, e in questo modo cadono in mani altrui informazioni, PIN vari e password.

La sicurezza dei siti web? Poco considerata

«Pur incrementando o mantenendo costante il budget, il livello di sicurezza delle aziende italiane continua a scendere». E’ quanto denuncia ancora Clusit stavolta nel proprio rapporto 2014.

«Questo fenomeno – spiega sempre Clusit, nell’ultimo documento  – è legato al fatto che la sensibilità rispetto alle tematiche di sicurezza continua a viaggiare ad una velocità estremamente inferiore rispetto all’evoluzione delle minacce».

«… oltre 3.200 incidenti noti avvenuti nel mondo ed in Italia negli ultimi 42 mesi (dal primo gennaio 2011 al 30 giugno 2014), … hanno avuto un impatto particolarmente significativo per le vittime in termini di perdite economiche, di reputazione, o di diffusione di dati sensibili (personali e non)», precisa sempre Clusit.

Perché c’è la pirateria informatica? «Oggi la motivazione principale per cui vengono compiuti attacchi informatici è di natura criminale – sostiene Clusit -. In particolare il 60% degli attacchi è dovuto ad azioni di cybercrime ed il 24% ad azioni di spionaggio industriale volto a sottrarre informazioni (progetti, dati di business, o documenti. Le azioni dimostrative, portate avanti tramite attacchi informatici (Hacktivism), sebbene abbiano conquistato dall’estate in poi, quasi settimanalmente, le prime pagine dei giornali, costituiscono in realtà solamente il 16% degli attacchi rilevati».

«La tendenza è pensare che questo tipo di attacchi vengano portati solamente verso siti istituzionali e siti vetrina, la realtà è che invece questo tipo di attacchi colpisce un po’ tutti i settori e non sono più solo indirizzati verso i siti vetrina ma anche verso il cuore della comunicazione, per esempio la posta elettronica», avverte il rapporto.

In definitiva, chiunque realizza, o fa realizzare da altri, un sito Web deve concentrare la propria attenzione, non solo su contenuti e proposta grafica, ma anche sulla sicurezza offerta tanto agli Amministratori del sito Web che agli Utenti del sito stesso.

Le conseguenze di tali disattenzioni possono essere devastanti, sotto tutti i punti di vista, anche in termini di responsabilità civile.

by

Effettua un test di controllo

effettua-un-test-di-controllo

Cercare conferme esterne sul buon esito delle proprie procedure di sicurezza è la miglior attività per accertarsi delle condizioni del proprio sito Web.

Sucuri permette di effettuare, gratuitamente, un veloce test di sicurezza del tuo sito: è sufficiente inserire il link alla propria Home Page e, dopo pochi secondi, ottenere il responso.

Come osservi qui di seguito, il noto quotidiano “Il Fatto Quotidiano”, anch’esso realizzato col CMS WordPress: il sito Web risulta “pulito” da eventuale Malware, anche se non sembra installato un firewall di protezione.

Esito-test-Sucuri-su-Il-Fatto-Quotidiano