2. CHI SONO?
Paolo Dolci
CEO @ WpSEO – CONSULENTE SEO – WORDPRESS DEV
@WpSEOit@capn3m0
@paolodolci info@wpseo.it
wpseo.it
WordCamp Bologna 2018 #wcbo #wcbo2018
3. COSA
VEDREMO
Di tutti i siti CMS infettati nel 2017,
WordPress rappresenta l’83%!
Come Attaccano
I veicoli di un attacco e le sue finalità possono essere diverse. Andiamo a vedere
i metodi più diffusi.
Perché Attaccano
Pensi che ti attacchino perché il tuo sito è famoso? Potresti essere solo un
trampolino per diffondere malware!
Come Difendersi
Quali Strumenti esistono per difendersi, come utilizzarli e quali regole
osservare per garantirsi sonni tranquilli!
WordCamp Bologna 2018 #wcbo #wcbo2018
6. ATTACCHI PIÙ
FREQUENTI
BRUTEFORCE
Tentativi continuativi di individuare
la password di Admin o di sfruttare
falle di XMLRPC
REMOTE CODE EXECUTION
Sfruttando falle di programmazione,
consentono di eseguire codice
esterno permettendo di inviare
comandi (aggiunta di un utente
admin), leggere file (wp-config?),
uplodare nuovi file malevoli e tutto
ciò che il php consente di fare
(molte cose!)
SQL INJECTION
Manipolando le variabili GET/POST
del sito permettono di alterare le
Query MySQL consentendo di
leggere e scrivere con pieni poteri!
XSS (Cross Site Scripting)
Sfruttando falle di programmazione
si può iniettare del codice
Javascript esterno che consente di
eseguire varie operazioni tra cui
sniffare i cookie di sessione e
loggarsi al posto del reale Admin,
mostrare Ads non volute o iniettare
e veicolare malware!
WordCamp Bologna 2018 #wcbo #wcbo2018
11. Soldi, Noia, Ego..
Qualunque sia il motivo ci proveranno!
E bisogna essere pronti!
“
WordCamp Bologna 2018 #wcbo #wcbo2018
12. PERCHÉ
ATTACCANO
USARCI COME “TESTA DI PONTE”
Chi commette questi reati ha bisogno di infrastrutture e di non essere
tracciato.
Violando un sito e caricando file e script, potranno inviare fake mail di
phishing, virus e quant’altro usando l’Ip del nostro Server rendendo più
difficile risalire ai reali crackers.
AMPLIFICARE LA PORTATA
Riuscendo a violare più siti, magari tramite la stessa falla comune, si possono
veicolare virus/malware/ransomware a tante persone in breve tempo.
I dati delle persone infette, sul mercato nero, hanno un valore $$$
WordCamp Bologna 2018 #wcbo #wcbo2018
13. UN’IMMAGINE VALE
PIÙ DI 1000 PAROLE
Ecco il valore dei nostri dati sul
Mercato Nero del Web
Fonte: Armor.com – The Black Market Report
WordCamp Bologna 2018 #wcbo #wcbo2018
15. COME
DIFENDERSI
SERVER SIDE SECURITY
A livello di Server esistono sw come
Fail2Ban e Mod_Security che
monitorano, intercettano e
bloccano gli attacchi più comuni e/o
noti.
UPDATE
Ovviamente mantenere sempre
aggiornati alle ultime versioni
WordPress, Temi e Plugin è sempre
fondamentale per garantire la
sicurezza del proprio sito!
WORDPRESS SIDE SECURITY
Plugin come Wordfence o Sucuri
Security integrano in WordPress
tutte le principali accortezze di
sicurezza contro i principali
attacchi.
BACKUP
Anche usando tutto il buonsenso e
attuando tutte le pratiche ti bucano
il sito?
Il backup ti salverà! (a patto che sia
al di fuori del tuo spazio web!)
WordCamp Bologna 2018 #wcbo #wcbo2018
16. Gli sviluppatori di WordPress fanno un
ottimo lavoro garantendo un core
robusto e sicuro!
Non roviniamo tutto!
“
WordCamp Bologna 2018 #wcbo #wcbo2018
20. SCRIVERE
CODICE
SICURO
WordCamp Bologna 2018 #wcbo #wcbo2018
Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o
manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
Utilizziamo i nonces di WordPress per evitare manipolazioni
21. SCRIVERE
CODICE
SICURO
WordCamp Bologna 2018 #wcbo #wcbo2018
Utilizziamo i nonces di WordPress per evitare manipolazioni
Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile
utilizziamo nel nostro codice prima di utilizzarla
Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o
manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
22. SCRIVERE
CODICE
SICURO
WordCamp Bologna 2018 #wcbo #wcbo2018
Utilizziamo i nonces di WordPress per evitare manipolazioni
Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile
utilizziamo nel nostro codice prima di utilizzarla
Gestiamo sempre le eccezioni nel codice
Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o
manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
23. SCRIVERE
CODICE
SICURO
WordCamp Bologna 2018 #wcbo #wcbo2018
Utilizziamo i nonces di WordPress per evitare manipolazioni
Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile
utilizziamo nel nostro codice prima di utilizzarla
Gestiamo sempre le eccezioni nel codice
Se utilizziamo nuovi ruoli utenti assegniamogli solo i permessi necessari
Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o
manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
24. SCRIVERE
CODICE
SICURO
WordCamp Bologna 2018 #wcbo #wcbo2018
Utilizziamo i nonces di WordPress per evitare manipolazioni
Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile
utilizziamo nel nostro codice prima di utilizzarla
Gestiamo sempre le eccezioni nel codice
Se utilizziamo nuovi ruoli utenti assegniamogli solo i permessi necessari
Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o
manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
Disabilitiamo l’Editor dei File che non utilizza nessuno ma può creare grossi
problem
define(‘DISALLOW_FILE_EDIT’,true);