Maybaygiare.org

Blog Network

WordPress.org

La sicurezza in WordPress è presa molto sul serio, ma come con qualsiasi altro sistema ci sono potenziali problemi di sicurezza che possono sorgere se non vengono prese alcune precauzioni di sicurezza di base. Questo articolo passerà attraverso alcune forme comuni di vulnerabilità, e le cose che potete fare per aiutare a mantenere sicura l’installazione di WordPress.

Questo articolo non è la soluzione rapida definitiva per i vostri problemi di sicurezza. Se hai dubbi o dubbi specifici sulla sicurezza, dovresti discuterli con persone di cui ti fidi per avere una conoscenza sufficiente della sicurezza informatica e di WordPress.

Che cos’è la sicurezza? # Che cos’è la sicurezza?

Fondamentalmente, la sicurezza non riguarda sistemi perfettamente sicuri. Una cosa del genere potrebbe essere impraticabile, o impossibile da trovare e/o mantenere. Ciò che la sicurezza è però è la riduzione del rischio, non l’eliminazione del rischio. Si tratta di impiegare tutti i controlli appropriati a tua disposizione, entro limiti ragionevoli, che ti permettono di migliorare la tua postura generale riducendo le probabilità di farti un bersaglio, successivamente essere hackerato.

Host di siti Web

Spesso, un buon punto di partenza quando si tratta di sicurezza del sito web è il tuo ambiente di hosting. Oggi, ci sono una serie di opzioni a vostra disposizione, e mentre gli host offrono sicurezza ad un certo livello, è importante capire dove la loro responsabilità finisce e inizia la tua. Ecco un buon articolo che spiega la dinamica complicata tra host web e la sicurezza del tuo sito web. Un server sicuro protegge la privacy, l’integrità e la disponibilità delle risorse sotto il controllo dell’amministratore del server.

Le qualità di un host web affidabile potrebbero includere:

  • Discute prontamente i tuoi problemi di sicurezza e quali funzionalità e processi di sicurezza offrono con il loro hosting.
  • Fornisce le versioni stabili più recenti di tutti i software server.
  • Fornisce metodi affidabili per il backup e il ripristino.

Decidi quale sicurezza hai bisogno sul tuo server determinando il software e i dati che devono essere protetti. Il resto di questa guida vi aiuterà con questo.

Applicazioni del sito Web

È facile guardare gli host web e passare la responsabilità della sicurezza a loro, ma c’è un’enorme quantità di sicurezza che si trova anche sul proprietario del sito web. Gli host Web sono spesso responsabili dell’infrastruttura su cui si trova il tuo sito Web, non sono responsabili dell’applicazione che scegli di installare.

Per capire dove e perché questo è importante devi capire come i siti web vengono violati, raramente viene attribuito all’infrastruttura e più spesso attribuito all’applicazione stessa (cioè all’ambiente di cui sei responsabile).

Top

Temi di sicurezza # Temi di sicurezza

Tieni a mente alcune idee generali mentre consideri la sicurezza per ogni aspetto del tuo sistema:

Limitare l’accesso

Fare scelte intelligenti che riducono i possibili punti di ingresso disponibili per una persona malevola.

Contenimento

Il sistema deve essere configurato per ridurre al minimo la quantità di danni che può essere fatto nel caso in cui è compromessa.

Preparazione e conoscenza

Mantenere i backup e conoscere lo stato della vostra installazione di WordPress a intervalli regolari. Avere un piano per il backup e il ripristino dell’installazione in caso di catastrofe può aiutarti a tornare online più velocemente in caso di problema.

Fonti attendibili

Non ottenere plugin/temi da fonti non attendibili. Limitatevi al WordPress.org repository o aziende ben note. Cercare di ottenere plugin / temi dall’esterno può portare a problemi.

Top

Vulnerabilità sul tuo computer # Vulnerabilità sul tuo computer

Assicurati che i computer che usi siano privi di spyware, malware e infezioni da virus. Nessuna quantità di sicurezza in WordPress o sul tuo server web farà la minima differenza se c’è un keylogger sul tuo computer.

Mantieni sempre aggiornato il tuo sistema operativo e il software su di esso, in particolare il tuo browser web, per proteggerti dalle vulnerabilità di sicurezza. Se stai navigando su siti non attendibili, ti consigliamo anche di utilizzare strumenti come no-script (o disabilitare javascript/flash/java) nel tuo browser.

Top

Vulnerabilità in WordPress # Vulnerabilità in WordPress

Come molti pacchetti software moderni, WordPress viene aggiornato regolarmente per affrontare i nuovi problemi di sicurezza che possono sorgere. Migliorare la sicurezza del software è sempre una preoccupazione in corso, e a tal fine si dovrebbe sempre tenersi aggiornati con l’ultima versione di WordPress. Le versioni precedenti di WordPress non vengono mantenute con aggiornamenti di sicurezza.

Aggiornamento di WordPress # Aggiornamento di WordPress

Articolo principale: Aggiornamento di WordPress.

L’ultima versione di WordPress è sempre disponibile dal sito web principale di WordPress all’indirizzohttps://wordpress.org. Le versioni ufficiali non sono disponibili da altri siti — non scaricare o installare WordPress da nessun sito web diverso da https://wordpress.org.

Dalla versione 3.7, WordPress ha caratterizzato gli aggiornamenti automatici. Utilizzare questa funzionalità per facilitare il processo di tenersi aggiornati. Puoi anche utilizzare la Dashboard di WordPress per essere sempre informato sugli aggiornamenti. Leggi la voce nella Dashboard o nel blog degli sviluppatori di WordPress per determinare quali passaggi devi adottare per aggiornare e rimanere sicuro.

Se viene scoperta una vulnerabilità in WordPress e viene rilasciata una nuova versione per risolvere il problema, le informazioni necessarie per sfruttare la vulnerabilità sono quasi certamente di pubblico dominio. Questo rende le vecchie versioni più aperte agli attacchi ed è uno dei motivi principali per cui dovresti sempre tenere WordPress aggiornato.

Se sei un amministratore responsabile di più di un’installazione di WordPress, considera l’utilizzo di Subversion per semplificare la gestione.

Top

Segnalazione di problemi di sicurezza # Segnalazione di problemi di sicurezza

Se pensi di aver trovato una falla di sicurezza in WordPress, puoi aiutarti segnalando il problema. Consulta le FAQ sulla sicurezza per informazioni su come segnalare problemi di sicurezza.

Se pensi di aver trovato un bug, segnalalo. Vedere Invio di bug per come farlo. Si potrebbe avere scoperto una vulnerabilità, o un bug che potrebbe portare a uno.

Top

Vulnerabilità del server Web # Vulnerabilità del server Web

Il server web che esegue WordPress e il software su di esso possono presentare vulnerabilità. Pertanto, assicurati di eseguire versioni sicure e stabili del tuo server Web e del software su di esso, o assicurati di utilizzare un host affidabile che si occupi di queste cose per te.

Se sei su un server condiviso (uno che ospita altri siti web oltre al tuo) e un sito web sullo stesso server è compromesso, il tuo sito Web può potenzialmente essere compromesso anche se segui tutto in questa guida. Assicurati di chiedere al tuo host web quali precauzioni di sicurezza prendono.

Top

Vulnerabilità di rete # Vulnerabilità di rete

La rete su entrambe le estremità — lato server WordPress e lato rete client — dovrebbe essere attendibile. Ciò significa aggiornare le regole del firewall sul router di casa e fare attenzione a quali reti si lavora da. Un Internet cafè in cui si inviano password tramite una connessione non crittografata, wireless o altro, non è una rete attendibile.

Il tuo host web dovrebbe assicurarsi che la loro rete non sia compromessa dagli aggressori e dovresti fare lo stesso. Le vulnerabilità di rete possono consentire l’intercettazione di password e altre informazioni sensibili.

Top

Password # Password

Molte potenziali vulnerabilità possono essere evitate con buone abitudini di sicurezza. Una password complessa è un aspetto importante di questo.

L’obiettivo con la password è quello di rendere difficile per le altre persone a indovinare e difficile per un attacco di forza bruta per avere successo. Sono disponibili molti generatori automatici di password che possono essere utilizzati per creare password sicure.

WordPress dispone anche di un misuratore di forza password che viene mostrato quando si cambia la password in WordPress. Utilizzare questo quando si cambia la password per garantire la sua forza è adeguata.

Cose da evitare quando si sceglie una password:

  • Qualsiasi permutazione del proprio vero nome, nome utente, nome della società, o il nome del tuo sito web.
  • Una parola da un dizionario, in qualsiasi lingua.
  • Una breve password.
  • Qualsiasi password solo numerica o solo alfabetica (una miscela di entrambi è la migliore).

Una password complessa è necessaria non solo per proteggere i contenuti del tuo blog. Un hacker che ottiene l’accesso al tuo account amministratore è in grado di installare script dannosi che possono potenzialmente compromettere l’intero server.

Oltre a utilizzare una password complessa, è una buona idea abilitare l’autenticazione in due passaggi come misura di sicurezza aggiuntiva.

Top

FTP # FTP

Quando ti connetti al tuo server dovresti usare la crittografia SFTP se il tuo host web lo fornisce. Se non siete sicuri se il vostro host web fornisce SFTP o no, basta chiedere loro.

L’utilizzo di SFTP è lo stesso di FTP, tranne che la password e altri dati vengono crittografati mentre vengono trasmessi tra il computer e il sito web. Ciò significa che la password non viene mai inviata in chiaro e non può essere intercettata da un utente malintenzionato.

Top

File Permissions # File Permissions

Alcune caratteristiche pulite di WordPress provengono da consentire vari file scrivibili dal server web. Tuttavia, consentire l’accesso in scrittura ai file è potenzialmente pericoloso, in particolare in un ambiente di hosting condiviso.

È meglio bloccare i permessi dei file il più possibile e allentare tali restrizioni nelle occasioni in cui è necessario consentire l’accesso in scrittura o creare cartelle specifiche con meno restrizioni allo scopo di fare cose come il caricamento di file.

Ecco un possibile schema di autorizzazione.

Tutti i file devono essere di proprietà del tuo account utente e devono essere scrivibili da te. Qualsiasi file che richiede l’accesso in scrittura da WordPress dovrebbe essere scrivibile dal server Web, se il tuo set di hosting lo richiede, ciò potrebbe significare che quei file devono essere di proprietà del gruppo dall’account utente utilizzato dal processo del server Web.

/

La directory principale di WordPress: tutti i file devono essere scrivibili solo dal tuo account utente, tranne .htaccess se vuoi che WordPress generi automaticamente regole di riscrittura per te.

/wp-admin/

L’area di amministrazione di WordPress: tutti i file devono essere scrivibili solo dal tuo account utente.

/wp-includes/

La maggior parte della logica dell’applicazione WordPress: tutti i file devono essere scrivibili solo dal tuo account utente.

/wp-content/

Contenuto fornito dall’utente: destinato a essere scrivibile dal proprio account utente e dal processo del server web.

All’interno di/wp-content/troverai:

/wp-content/themes/

File del tema. Se si desidera utilizzare l’editor di temi integrato, tutti i file devono essere scrivibili dal processo del server Web. Se non si desidera utilizzare l’editor di temi integrato, tutti i file possono essere scrivibili solo dal proprio account utente.

/wp-content/plugins/

File plugin: tutti i file devono essere scrivibili solo dal proprio account utente.

Altre directory che possono essere presenti con /wp-content/ dovrebbero essere documentate da qualsiasi plugin o tema li richieda. Le autorizzazioni possono variare.

Top

Modifica delle autorizzazioni dei file # Modifica delle autorizzazioni dei file

Se hai accesso alla shell al tuo server, puoi modificare le autorizzazioni dei file in modo ricorsivo con il seguente comando:

Per le Directory:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

File:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Top

per quanto Riguarda gli Aggiornamenti Automatici # per quanto Riguarda gli Aggiornamenti Automatici

Quando si raccontano WordPress per eseguire un aggiornamento automatico di tutti i file vengono eseguite operazioni come l’utente che possiede il file, non come il web server dell’utente. Tutti i file sono impostati su 0644 e tutte le directory sono impostate su 0755 e scrivibili solo dall’utente e leggibili da tutti gli altri, incluso il server Web.

Top

Database Security # Database Security

Se si eseguono più blog sullo stesso server, è consigliabile tenerli in database separati ognuno gestito da un utente diverso. Questo è meglio realizzato quando si esegue l’installazione iniziale di WordPress. Questa è una strategia di contenimento: se un intruso rompe con successo un’installazione di WordPress, questo rende molto più difficile modificare gli altri blog.

Se si amministra MySQL da soli, assicurarsi di aver compreso la configurazione MySQL e che le funzionalità non necessarie (come l’accettazione di connessioni TCP remote) siano disabilitate. Vedere Secure MySQL Database Design per una bella introduzione.

Top

Limitazione dei privilegi utente del database # Limitazione dei privilegi utente del database

Per le normali operazioni di WordPress, come la pubblicazione di post di blog, il caricamento di file multimediali, la pubblicazione di commenti, la creazione di nuovi utenti di WordPress e l’installazione di plugin di WordPress, l’utente del database MySQL; SELEZIONARE, INSERIRE, AGGIORNARE ed ELIMINARE.

Pertanto qualsiasi altra struttura di database e privilegi di amministrazione, come DROP, ALTER e GRANT può essere revocata. Revocando tali privilegi si stanno anche migliorando le politiche di contenimento.

Nota: Alcuni plugin, temi e importanti aggiornamenti di WordPress potrebbero richiedere di apportare modifiche strutturali al database, come aggiungere nuove tabelle o modificare lo schema. In tal caso, prima di installare il plugin o aggiornare un software, è necessario consentire temporaneamente all’utente del database i privilegi richiesti.

ATTENZIONE: Il tentativo di aggiornamento senza questi privilegi può causare problemi quando si verificano modifiche allo schema del database. Pertanto, NON è consigliabile revocare questi privilegi. Se si sente il bisogno di fare questo per motivi di sicurezza, quindi si prega di assicurarsi di avere un piano di backup solido in atto prima, con regolari backup di database intero che avete testato sono validi e che possono essere facilmente ripristinati. Un aggiornamento del database non riuscito di solito può essere risolto ripristinando il database a una vecchia versione, concedendo le autorizzazioni appropriate e lasciando che WordPress riprovi l’aggiornamento del database. Il ripristino del database lo restituirà a quella vecchia versione e le schermate di amministrazione di WordPress rileveranno la vecchia versione e ti permetteranno di eseguire i comandi SQL necessari su di essa. La maggior parte degli aggiornamenti di WordPress non cambia lo schema, ma alcuni lo fanno. Solo gli aggiornamenti dei punti principali (da 3.7 a 3.8, ad esempio) modificheranno lo schema. Gli aggiornamenti minori (da 3.8 a 3.8.1) in genere non lo faranno. Tuttavia, mantenere un backup regolare.

Top

Protezione di wp-admin # Protezione di wp-admin

Aggiunta della protezione con password lato server (come BasicAuth) a/wp-admin/ aggiunge un secondo livello di protezione intorno all’area di amministrazione del tuo blog, alla schermata di accesso e ai tuoi file. Ciò costringe un utente malintenzionato o un bot ad attaccare questo secondo livello di protezione invece dei file di amministratore effettivi. Molti attacchi WordPress vengono eseguiti autonomamente da bot software dannosi.

La semplice protezione della directorywp-admin/ potrebbe anche interrompere alcune funzionalità di WordPress, come il gestore AJAX inwp-admin/admin-ajax.php. Vedere la sezione Risorse per ulteriori documentazione su come proteggere con password la directory wp-admin/ correttamente.

Gli attacchi più comuni contro un blog WordPress di solito rientrano in due categorie.

  1. Invio di richieste HTTP appositamente predisposte al server con payload di exploit specifici per vulnerabilità specifiche. Questi includono plugin e software vecchi/obsoleti.
  2. Il tentativo di ottenere l’accesso al tuo blog utilizzando la password “forza bruta” indovinare.

L’implementazione definitiva di questa protezione con password di “secondo livello” consiste nel richiedere una connessione crittografata HTTPS SSL per l’amministrazione, in modo che tutte le comunicazioni e i dati sensibili siano crittografati. Vedere Amministrazione su SSL.

Top

Protezione wp-include # Protezione wp-include

Un secondo livello di protezione può essere aggiunto dove gli script non sono generalmente destinati ad essere accessibili da qualsiasi utente. Un modo per farlo è bloccare quegli script usando mod_rewrite nel .file htaccess. Nota: per garantire che il codice sottostante non venga sovrascritto da WordPress, posizionarlo al di fuori dei tag# BEGIN WordPress e# END WordPress nel .file htaccess. WordPress può sovrascrivere qualsiasi cosa tra questi tag.

Top

Protezione di wp-config.php # Protezione di wp-config.php

È possibile spostare il filewp-config.php nella directory sopra l’installazione di WordPress. Ciò significa che per un sito installato nella radice del tuo spazio web, puoi memorizzare wp-config.php all’esterno della cartella web-root.

Nota: Alcune persone affermano che lo spostamento wp-config.php ha benefici di sicurezza minimi e, se non fatto con attenzione, può effettivamente introdurre gravi vulnerabilità. Altri non sono d’accordo.

Si noti chewp-config.php può essere memorizzato un livello di directory sopra l’installazione di WordPress (dove wp-include risiede). Inoltre, assicurati che solo tu (e il server web) possa leggere questo file (generalmente significa un’autorizzazione 400 o 440).

Se si utilizza un server con .htaccess, puoi metterlo in quel file (in alto) per negare l’accesso a chiunque navighi per questo:

<files wp-config.php>order allow,denydeny from all</files>

Top

Disabilita la modifica dei file # Disabilita la modifica dei file

La Dashboard di WordPress consente agli amministratori di modificare i file PHP, come i file dei plugin e dei temi. Questo è spesso il primo strumento che un utente malintenzionato utilizzerà se è in grado di accedere, poiché consente l’esecuzione del codice. WordPress ha una costante per disabilitare la modifica dalla Dashboard. Posizionamento di questa riga in wp-config.php equivale a rimuovere le funzionalità’ edit_themes‘,’ edit_plugins ‘e’ edit_files ‘ di tutti gli utenti:

define('DISALLOW_FILE_EDIT', true);

Questo non impedirà a un utente malintenzionato di caricare file dannosi sul tuo sito, ma potrebbe fermare alcuni attacchi.

Top

Plugins # Plugins

Prima di tutto, assicurati che i tuoi plugin siano sempre aggiornati. Inoltre, se non si utilizza un plugin specifico, eliminarlo dal sistema.

Top

Firewall # Firewall

Ci sono molti plugin e servizi che possono fungere da firewall per il tuo sito web. Alcuni di loro funzionano modificando il vostro .htaccess
file e limitare alcuni accessi a livello di Apache, prima che venga elaborato da WordPress. Un buon esempio è iThemes Security o All in One WP Security. Alcuni plugin firewall agiscono a livello di WordPress, come WordFence e Shield, e cercano di filtrare gli attacchi mentre WordPress sta caricando, ma prima che sia completamente elaborato.

Oltre ai plugin, puoi anche installare un WAF (web firewall) sul tuo server web per filtrare il contenuto prima che venga elaborato da WordPress. Il WAF open source più popolare è ModSecurity.

Un firewall sito web può anche essere aggiunto come intermediario tra il traffico da Internet e il server di hosting. Questi servizi funzionano tutti come proxy inversi, in cui accettano le richieste iniziali e le reindirizzano al server, spogliandolo di tutte le richieste dannose. Lo fanno modificando i record DNS, tramite un record A o uno swap DNS completo, consentendo a tutto il traffico di passare prima attraverso la nuova rete. Questo fa sì che tutto il traffico venga filtrato dal firewall prima di raggiungere il tuo sito. Alcune aziende offrono tale servizio, come CloudFlare, Sucuri e Incapsula.

Inoltre, questi fornitori di servizi di terze parti funzionano come Content Distribution Network (CDN) per impostazione predefinita, introducendo l’ottimizzazione delle prestazioni e la portata globale.

Top

Plugin che hanno bisogno di accesso in scrittura # Plugin che hanno bisogno di accesso in scrittura

Se un plugin vuole l’accesso in scrittura ai file e directory di WordPress, si prega di leggere il codice per assicurarsi che sia legittimo o verificare con qualcuno di fiducia. Possibili luoghi da controllare sono i forum di supporto e il canale IRC.

Top

Code execution plugins # Code execution plugins

Come abbiamo detto, parte dell’obiettivo di indurimento WordPress è contenere il danno fatto se c’è un attacco di successo. Plugin che permettono PHP arbitrario o altro codice da eseguire da voci in un database efficacemente ingrandire la possibilità di danni in caso di un attacco di successo.

Un modo per evitare l’utilizzo di tale plugin è quello di utilizzare modelli di pagina personalizzati che chiamano la funzione. Parte della sicurezza che questo offre è attiva solo quando non si consente la modifica dei file all’interno di WordPress.

Top

Sicurezza attraverso l’oscurità # Sicurezza attraverso l’oscurità

La sicurezza attraverso l’oscurità è generalmente una strategia primaria non corretta. Tuttavia, ci sono aree in WordPress dove oscuramento delle informazioni potrebbe aiutare con la sicurezza:

  1. Rinominare l’account amministrativo: Durante la creazione di un account amministrativo, evitare facilmente intuibile termini come admin o webmaster come nomi utente, perché sono in genere oggetto di attacchi per primo. Su un’installazione WordPress esistente è possibile rinominare l’account esistente nel client della riga di comando MySQL con un comando come UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';, o utilizzando un frontend MySQL come phpMyAdmin.
  2. Cambia table_prefix: molti attacchi SQL-injection pubblicati specifici per WordPress presuppongono che table_prefix sia wp_, il valore predefinito. La modifica di questo può bloccare almeno alcuni attacchi SQL injection.

Top

Backup dei dati # Backup dei dati

Esegui regolarmente il backup dei tuoi dati, inclusi i tuoi database MySQL. Vedi l’articolo principale: Backup del database.

L’integrità dei dati è fondamentale per i backup attendibili. La crittografia del backup, la registrazione indipendente degli hash MD5 per ogni file di backup e/o l’immissione di backup su supporti di sola lettura aumentano la sicurezza che i dati non siano stati manomessi.

Una strategia di backup audio potrebbe includere la conservazione di una serie di istantanee a tempo regolare dell’intera installazione di WordPress (inclusi i file core di WordPress e il database) in una posizione attendibile. Immaginate un sito che fa istantanee settimanali. Tale strategia significa che se un sito è compromesso il 1 maggio, ma il compromesso non viene rilevato fino al 12 maggio, il proprietario del sito avrà backup pre-compromesso che possono aiutare a ricostruire il sito e forse anche i backup post-compromesso che aiuterà a determinare come il sito è stato compromesso.

Top

Logging # Logging

I log sono il tuo migliore amico quando si tratta di capire cosa sta succedendo con il tuo sito web, specialmente se stai cercando di eseguire analisi forensi. Contrariamente alle credenze popolari, i registri ti permettono di vedere cosa è stato fatto e da chi e quando. Sfortunatamente i log non ti diranno chi, nome utente, ha effettuato l’accesso, ma ti permetteranno di identificare l’IP e il tempo e, cosa più importante, le azioni che l’attaccante potrebbe aver intrapreso. Sarete in grado di vedere uno di questi attacchi tramite i log – Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) e Directory Traversal tentativi. Potrai anche essere in grado di vedere i tentativi di forza bruta. Ci sono vari esempi e tutorial disponibili per aiutare a guidare l’utente attraverso il processo di analisi e analisi dei log grezzi.

Se ti senti più a tuo agio con i tuoi log, sarai in grado di vedere cose come, quando vengono utilizzati gli editor di temi e plugin, quando qualcuno aggiorna i tuoi widget e quando vengono aggiunti post e pagine. Tutti gli elementi chiave quando si fa il lavoro forense sul server web. Ci sono alcuni plugin di sicurezza di WordPress che ti aiutano anche in questo, come lo strumento di controllo Sucuri o il plug-in Audit Trail.

Ci sono due soluzioni open source chiave che vorrai sul tuo server Web dal punto di vista della sicurezza, questo è un approccio stratificato alla sicurezza.

OSSEC può essere eseguito su qualsiasi distribuzione NIX e verrà eseguito anche su Windows. Se configurato correttamente è molto potente. L’idea è correlare e aggregare tutti i registri. Devi essere sicuro di configurarlo per catturare tutti access_logs e error_logs e se hai più siti Web sull’account del server per questo. Ti consigliamo anche di essere sicuri di filtrare il rumore. Per impostazione predefinita vedrete un sacco di rumore e ti consigliamo di configurarlo per essere veramente efficace.

Top

Monitoraggio # Monitoraggio

A volte la prevenzione non è sufficiente e si può ancora essere violato. Ecco perché il rilevamento/monitoraggio delle intrusioni è molto importante. Ti permetterà di reagire più velocemente, scoprire cosa è successo e recuperare il tuo sito.

Top

Monitoraggio dei log # Monitoraggio dei log

Se sei su un server privato dedicato o virtuale, in cui hai il lusso dell’accesso root, hai la possibilità di configurare facilmente le cose in modo da poter vedere cosa sta succedendo. OSSEC facilita facilmente questo ed ecco un po ‘ di scrittura che potrebbe aiutarti OSSEC per la sicurezza del sito Web-Parte I.

Top

Monitoraggio dei file per le modifiche # Monitoraggio dei file per le modifiche

Quando si verifica un attacco, lascia sempre tracce. O sui registri o sul file system (nuovi file, file modificati, ecc.). Se si utilizza OSSEC per esempio, sarà monitorare i file e avvisare l’utente quando cambiano.

Obiettivi # Obiettivi

Gli obiettivi del monitoraggio del file system includono:

  • Monitor cambiato e aggiunto i file
  • Log modifiche e integrazioni
  • Possibilità di ripristinare modifiche granulare
  • avvisi Automatici

Top

Generale approcci # approcci Generali

gli Amministratori possono monitorare i file di sistema tramite le tecnologie generali quali:

  • utilità di Sistema
  • controllo di Revisione
  • OS/kernel monitoraggio del livello

Top

strumenti Specifici # strumenti Specifici

le Opzioni per i file di sistema di monitoraggio includono:

  • diff – costruire pulito copia di prova del vostro sito e di confronto con la produzione
  • Git – gestione del codice sorgente
  • inotify e incron – sistema operativo a livello kernel file di servizio di monitoraggio in grado di eseguire comandi sul filesystem eventi
  • Watcher – Python inotify libreria
  • OSSEC – Open Source Host-based Intrusion Detection System che esegue l’analisi di log, file di controllo di integrità, il monitoraggio delle politiche, di rilevamento dei rootkit in tempo reale di allarme e di risposta attiva.

Top

Considerazioni # Considerazioni

Quando si configura una strategia di monitoraggio basata su file, ci sono molte considerazioni, tra cui le seguenti.

Eseguire lo script/servizio di monitoraggio come root

Questo renderebbe difficile per gli aggressori disabilitare o modificare la soluzione di monitoraggio del file system.

Disabilita il monitoraggio durante la manutenzione/gli aggiornamenti pianificati

Ciò impedirebbe notifiche non necessarie quando si esegue una manutenzione regolare sul sito.

Monitora solo i tipi di file eseguibili

Può essere ragionevolmente sicuro monitorare solo i tipi di file eseguibili, come ad esempio .file php, ecc.. Filtrare i file non eseguibili può ridurre le voci di registro e gli avvisi non necessari.

Usa le autorizzazioni rigorose del file system

Leggi sulla protezione delle autorizzazioni e della proprietà dei file. In generale, evitare di consentire le autorizzazioni di esecuzione e scrittura nella misura del possibile.

Top

Monitoraggio esterno del server web # Monitoraggio esterno del server web

Se l’utente malintenzionato tenta di deturpare il sito o aggiungere malware, è anche possibile rilevare queste modifiche utilizzando una soluzione di monitoraggio dell’integrità basata sul Web. Questo si presenta in molte forme oggi, utilizzare il motore di ricerca preferito e cercare il rilevamento di malware Web e la bonifica e probabilmente si otterrà una lunga lista di fornitori di servizi.

Top

Risorse # Risorse

  • Come migliorare la sicurezza di WordPress (Infografica)
  • Plugin di sicurezza
  • WordPress Sicurezza Taglio attraverso il BS
  • e-Book: Bloccare WordPress
  • wpsecure.net ha alcune guide su come bloccare WordPress.
  • A Beginners Guide to Hardening WordPress
  • Brad Williams: Lock it Up (Video)
  • 21 Modi per proteggere il tuo sito WordPress
  • Documenti ufficiali su come proteggere con password le directory con un .il file htaccess
  • Semplice tutorial su come proteggere con password l’area di amministrazione di WordPress e correggere l’errore 404

Top

Vedi Anche # Vedi Anche

  • Protezione FAQ
  • FAQ – il Mio sito è stato hackerato
  • gli Attacchi di Forza Bruta
  • WordPress Security white Paper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.