Tecnologia e Digital Hacks
28-01-2008

Sicurezza su Wordpress

Spesso, parlando con degli amici, mi sento dire "Wordpress è sicuro". Non c'é dubbio, è una piattaforma di blogging molto molto sicura. Ma ci sono dei fattori da non sottovalutare.
  • i plugin: ogni plugin rappresenta un potenziale veicolo per exploit e quant'altro;
  • gli aggiornamenti: ogni volta che esce un aggiornamento per wordpress, se si sono corretti bug di sicurezza, un defacer può velocemente cercare i vecchi bug tramite i vari changelog e utilizzarli sui blog non ancora aggiornati (bastano pochi minuti per defacciare un blog, o minarne permanentemente e silenziosamente la sua sicurezza tramite shell e quant'altro).
Il rimedio esiste. Certo, può dare adito ad un po' di problemi nel suo utilizzo, ma è il prezzo da pagare per avere un blog sempre sicuro. PhP-Ids è un'applicazione in PHP estremamente facile da usare che permette di controllare, correggere e filtrare ogni input dannoso. Essenzialmente riconosce quando un defacer cerca di penetrare nel nostro sito e reagisce come vogliamo noi. Si basa su una serie di regole e filtri, estremamente testati, e restituisce numericamente il livello di impatto di ogni attacco. Per questo è facile filtrare le azioni sopra un certo range e scegliere di mostrare un messaggio di avviso oppure terminare la sessione dell'utente. HomePage Applicazione: http://php-ids.org/

Per Wordpress

Attualmente esiste un plugin per Wordpress dell'applicazione, per integrarlo con facilità al nostro Blog. Vi ricordo soltanto che dovrete aggiornare manualmente (vi avviserà il plugin quando necessario) e con buona continutà (ogni tre mesi circa) i filtri (per quanto siano già estremamente perfezionati). Per farlo vi basterà scaricare ed uploadare il file default_filter.xml. Ecco qui il repository: http://code.google.com/p/wpids/source -trunk: http://wpids.googlecode.com/svn/trunk/ E i download: -obsoleto, ufficiale http://php-ids.org/files/wp-ids.zip -aggiornato, non ufficiale Wp-Ids Attenzione: se il plugin vi da problemi, potete disattivarlo. Io lo utilizzo attualmente su questo blog, e devo farlo (temporaneamente) solo per certe operazioni di aggiornamento.

Questo articolo è stato pubblicato il 31-12-1969 alle 18:33 e classificato in .

4 Commenti a “Sicurezza su Wordpress”

  1. Emanuel scrive:
    31-12-1969 alle 18:33

    <blockquote>ogni volta che esce un aggiornamento per wordpress, se si sono corretti bug di sicurezza, un defacer può velocemente cercare i vecchi bug tramite i vari changelog e utilizzarli sui blog non ancora aggiornati (bastano pochi minuti per defacciare un blog, o minarne permanentemente e silenziosamente la sua sicurezza tramite shell e quant’altro).</blockquote> :) questo post lo faccio leggere a <a href="http://www.fratelliditalia.eu/2008/01/23/back-to-bedlam/">domiziano</a>

  2. Nick scrive:
    31-12-1969 alle 18:33

    Mamma mia, povero domiziano :) A questo punto consiglierei anche un ottimo backup automatico giornaliero. http://www.tamba2.org.uk/wordpress/cron/ Edit: Ho appena installato questo plugin che automatizza il backup e lo spedisce alla mia email. http://www.ilfilosofo.com/blog/wp-db-backup/ Da usare in assoluto!

  3. Er-Gladiatore scrive:
    31-12-1969 alle 18:33

    Installato il plugin ;) Ovviamente quello obsoleto ufficiale perchè quello aggiornato non ufficiale è hostato sul tuo spazio e tu sei pericoloso xD Comunque ho notato che se lo lascio attivo mi crea problemi se devo mettere/modificare/cancellare tramite FTP, lo fa solo a me o è una cosa semi-normale ?

  4. Nick scrive:
    31-12-1969 alle 18:33

    xD Non sono così pericoloso dai.. A livello di FTP è strano.. I problemi che finora ho trovato erano solo per l'xmlrpc per la pubblicazione sul blog tramite software esterni.