SlideShare ist ein Scribd-Unternehmen logo

WordCamp Bologna 2018 - Paolo Dolci

WpSEO.it
WpSEO.it

Pillole di Sicurezza con WordPress - Slide di Paolo Dolci presentate al WordCamp 2018 di Bologna dedicato agli Sviluppatori.

Internet
1 von 26
Downloaden Sie, um offline zu lesen
Pillole di Sicurezza Informatica Paolo Dolci WordCamp Bologna 2018 #wcbo #wcbo2018
CHI SONO? Paolo Dolci CEO @ WpSEO – CONSULENTE SEO – WORDPRESS DEV @WpSEOit@capn3m0 @paolodolci info@wpseo.it wpseo.it WordCamp Bologna 2018 #wcbo #wcbo2018
COSA VEDREMO Di tutti i siti CMS infettati nel 2017, WordPress rappresenta l’83%! Come Attaccano I veicoli di un attacco e le sue finalità possono essere diverse. Andiamo a vedere i metodi più diffusi. Perché Attaccano Pensi che ti attacchino perché il tuo sito è famoso? Potresti essere solo un trampolino per diffondere malware! Come Difendersi Quali Strumenti esistono per difendersi, come utilizzarli e quali regole osservare per garantirsi sonni tranquilli! WordCamp Bologna 2018 #wcbo #wcbo2018
COME ATTACCANO WordCamp Bologna 2018 #wcbo #wcbo2018
WORDPRESS RAPPRESENTA IL 30% DEI SITI BASATI SU CMS Fonte: w3techs.com WordCamp Bologna 2018 #wcbo #wcbo2018
ATTACCHI PIÙ FREQUENTI BRUTEFORCE Tentativi continuativi di individuare la password di Admin o di sfruttare falle di XMLRPC REMOTE CODE EXECUTION Sfruttando falle di programmazione, consentono di eseguire codice esterno permettendo di inviare comandi (aggiunta di un utente admin), leggere file (wp-config?), uplodare nuovi file malevoli e tutto ciò che il php consente di fare (molte cose!) SQL INJECTION Manipolando le variabili GET/POST del sito permettono di alterare le Query MySQL consentendo di leggere e scrivere con pieni poteri! XSS (Cross Site Scripting) Sfruttando falle di programmazione si può iniettare del codice Javascript esterno che consente di eseguire varie operazioni tra cui sniffare i cookie di sessione e loggarsi al posto del reale Admin, mostrare Ads non volute o iniettare e veicolare malware! WordCamp Bologna 2018 #wcbo #wcbo2018
WordCamp Bologna 2018 #wcbo #wcbo2018 PERCHÉ PREOCCUPARSI ?
PERCHÉ PREOCCUPARSI ? WordCamp Bologna 2018 #wcbo #wcbo2018
PERCHÉ PREOCCUPARSI ? WordCamp Bologna 2018 #wcbo #wcbo2018
PERCHÉ ATTACCANO WordCamp Bologna 2018 #wcbo #wcbo2018
Soldi, Noia, Ego.. Qualunque sia il motivo ci proveranno! E bisogna essere pronti! “ WordCamp Bologna 2018 #wcbo #wcbo2018
PERCHÉ ATTACCANO USARCI COME “TESTA DI PONTE” Chi commette questi reati ha bisogno di infrastrutture e di non essere tracciato. Violando un sito e caricando file e script, potranno inviare fake mail di phishing, virus e quant’altro usando l’Ip del nostro Server rendendo più difficile risalire ai reali crackers. AMPLIFICARE LA PORTATA Riuscendo a violare più siti, magari tramite la stessa falla comune, si possono veicolare virus/malware/ransomware a tante persone in breve tempo. I dati delle persone infette, sul mercato nero, hanno un valore $$$ WordCamp Bologna 2018 #wcbo #wcbo2018
UN’IMMAGINE VALE PIÙ DI 1000 PAROLE Ecco il valore dei nostri dati sul Mercato Nero del Web Fonte: Armor.com – The Black Market Report WordCamp Bologna 2018 #wcbo #wcbo2018
COME DIFENDERSI WordCamp Bologna 2018 #wcbo #wcbo2018
COME DIFENDERSI SERVER SIDE SECURITY A livello di Server esistono sw come Fail2Ban e Mod_Security che monitorano, intercettano e bloccano gli attacchi più comuni e/o noti. UPDATE Ovviamente mantenere sempre aggiornati alle ultime versioni WordPress, Temi e Plugin è sempre fondamentale per garantire la sicurezza del proprio sito! WORDPRESS SIDE SECURITY Plugin come Wordfence o Sucuri Security integrano in WordPress tutte le principali accortezze di sicurezza contro i principali attacchi. BACKUP Anche usando tutto il buonsenso e attuando tutte le pratiche ti bucano il sito? Il backup ti salverà! (a patto che sia al di fuori del tuo spazio web!) WordCamp Bologna 2018 #wcbo #wcbo2018
Gli sviluppatori di WordPress fanno un ottimo lavoro garantendo un core robusto e sicuro! Non roviniamo tutto! “ WordCamp Bologna 2018 #wcbo #wcbo2018
ATTACCHI WORDPRESS MARZO 2018 Fonte: Wordfence.com– March 2017 WordPress Attack Report WordCamp Bologna 2018 #wcbo #wcbo2018 PLUGINS TEMI
WordPress ha un set di funzioni utili a sviluppare in SICUREZZA, USIAMOLE “ WordCamp Bologna 2018 #wcbo #wcbo2018
SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni
SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc) Utilizziamo i nonces di WordPress per evitare manipolazioni
SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Se utilizziamo nuovi ruoli utenti assegniamogli solo i permessi necessari Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Se utilizziamo nuovi ruoli utenti assegniamogli solo i permessi necessari Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc) Disabilitiamo l’Editor dei File che non utilizza nessuno ma può creare grossi problem define(‘DISALLOW_FILE_EDIT’,true);
¡GRAZIE! WordCamp Bologna 2018 #wcbo #wcbo2018
DOMANDE WordCamp Bologna 2018 #wcbo #wcbo2018

Empfohlen

Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoSiteGround.com
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...Register.it
 
EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)Euery
 
Malvertising: una minaccia in espansione
Malvertising: una minaccia in espansioneMalvertising: una minaccia in espansione
Malvertising: una minaccia in espansionefantaghost
 
Malvertising: una minaccia in espansione
Malvertising: una minaccia in espansioneMalvertising: una minaccia in espansione
Malvertising: una minaccia in espansionefestival ICT 2016
 
Internet (in)sicuro
Internet (in)sicuroInternet (in)sicuro
Internet (in)sicuroAlessio Pennasilico
 

Empfohlen

Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoSiteGround.com
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...Register.it
 
EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)Euery
 
Malvertising: una minaccia in espansione
Malvertising: una minaccia in espansioneMalvertising: una minaccia in espansione
Malvertising: una minaccia in espansionefantaghost
 
Malvertising: una minaccia in espansione
Malvertising: una minaccia in espansioneMalvertising: una minaccia in espansione
Malvertising: una minaccia in espansionefestival ICT 2016
 
Internet (in)sicuro
Internet (in)sicuroInternet (in)sicuro
Internet (in)sicuroAlessio Pennasilico
 
Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics reportE2 Ict Snc
 
WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaFlavius-Florin Harabor
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpressguaio2013
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
Pericoli
PericoliPericoli
PericoliFederico Sette
 
Il tuo sito? Il mio spam relay!
Il tuo sito? Il mio spam relay!Il tuo sito? Il mio spam relay!
Il tuo sito? Il mio spam relay!Francesco Fullone
 
Open source un'opportunità di business
Open source un'opportunità di businessOpen source un'opportunità di business
Open source un'opportunità di businessRoberto Falla
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Siti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeSiti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeDiego La Monica
 
Lezione 6 sicurezza sul web
Lezione 6 sicurezza sul webLezione 6 sicurezza sul web
Lezione 6 sicurezza sul webGeniusProgetto
 
Security Accademy - seminario sulla sicurezza online
Security Accademy - seminario sulla sicurezza onlineSecurity Accademy - seminario sulla sicurezza online
Security Accademy - seminario sulla sicurezza onlineVittorio Pasteris
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
 
Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020Thomas Rossetto
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsMarco Morana
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 

Weitere ähnliche Inhalte

Ähnlich wie WordCamp Bologna 2018 - Paolo Dolci

Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics reportE2 Ict Snc
 
WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaFlavius-Florin Harabor
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpressguaio2013
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
Il tuo sito? Il mio spam relay!
Il tuo sito? Il mio spam relay!Il tuo sito? Il mio spam relay!
Il tuo sito? Il mio spam relay!Francesco Fullone
 
Open source un'opportunità di business
Open source un'opportunità di businessOpen source un'opportunità di business
Open source un'opportunità di businessRoberto Falla
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Siti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeSiti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeDiego La Monica
 
Lezione 6 sicurezza sul web
Lezione 6 sicurezza sul webLezione 6 sicurezza sul web
Lezione 6 sicurezza sul webGeniusProgetto
 
Security Accademy - seminario sulla sicurezza online
Security Accademy - seminario sulla sicurezza onlineSecurity Accademy - seminario sulla sicurezza online
Security Accademy - seminario sulla sicurezza onlineVittorio Pasteris
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
 
Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020Thomas Rossetto
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsMarco Morana
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 

Ähnlich wie WordCamp Bologna 2018 - Paolo Dolci (20)

Stop Spam in google analytics report
Stop Spam in google analytics reportStop Spam in google analytics report
Stop Spam in google analytics report
 
WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezza
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo Chirivì
 
Pericoli
PericoliPericoli
Pericoli
 
Il tuo sito? Il mio spam relay!
Il tuo sito? Il mio spam relay!Il tuo sito? Il mio spam relay!
Il tuo sito? Il mio spam relay!
 
Open source un'opportunità di business
Open source un'opportunità di businessOpen source un'opportunità di business
Open source un'opportunità di business
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
Siti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeSiti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenze
 
Lezione 6 sicurezza sul web
Lezione 6 sicurezza sul webLezione 6 sicurezza sul web
Lezione 6 sicurezza sul web
 
Security Accademy - seminario sulla sicurezza online
Security Accademy - seminario sulla sicurezza onlineSecurity Accademy - seminario sulla sicurezza online
Security Accademy - seminario sulla sicurezza online
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
 
Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020Quando un software è di qualità? - Agile Venture Milano 2020
Quando un software è di qualità? - Agile Venture Milano 2020
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web Applications
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 

WordCamp Bologna 2018 - Paolo Dolci

  • 2. CHI SONO? Paolo Dolci CEO @ WpSEO – CONSULENTE SEO – WORDPRESS DEV @WpSEOit@capn3m0 @paolodolci info@wpseo.it wpseo.it WordCamp Bologna 2018 #wcbo #wcbo2018
  • 3. COSA VEDREMO Di tutti i siti CMS infettati nel 2017, WordPress rappresenta l’83%! Come Attaccano I veicoli di un attacco e le sue finalità possono essere diverse. Andiamo a vedere i metodi più diffusi. Perché Attaccano Pensi che ti attacchino perché il tuo sito è famoso? Potresti essere solo un trampolino per diffondere malware! Come Difendersi Quali Strumenti esistono per difendersi, come utilizzarli e quali regole osservare per garantirsi sonni tranquilli! WordCamp Bologna 2018 #wcbo #wcbo2018
  • 5. WORDPRESS RAPPRESENTA IL 30% DEI SITI BASATI SU CMS Fonte: w3techs.com WordCamp Bologna 2018 #wcbo #wcbo2018
  • 6. ATTACCHI PIÙ FREQUENTI BRUTEFORCE Tentativi continuativi di individuare la password di Admin o di sfruttare falle di XMLRPC REMOTE CODE EXECUTION Sfruttando falle di programmazione, consentono di eseguire codice esterno permettendo di inviare comandi (aggiunta di un utente admin), leggere file (wp-config?), uplodare nuovi file malevoli e tutto ciò che il php consente di fare (molte cose!) SQL INJECTION Manipolando le variabili GET/POST del sito permettono di alterare le Query MySQL consentendo di leggere e scrivere con pieni poteri! XSS (Cross Site Scripting) Sfruttando falle di programmazione si può iniettare del codice Javascript esterno che consente di eseguire varie operazioni tra cui sniffare i cookie di sessione e loggarsi al posto del reale Admin, mostrare Ads non volute o iniettare e veicolare malware! WordCamp Bologna 2018 #wcbo #wcbo2018
  • 7. WordCamp Bologna 2018 #wcbo #wcbo2018 PERCHÉ PREOCCUPARSI ?
  • 11. Soldi, Noia, Ego.. Qualunque sia il motivo ci proveranno! E bisogna essere pronti! “ WordCamp Bologna 2018 #wcbo #wcbo2018
  • 12. PERCHÉ ATTACCANO USARCI COME “TESTA DI PONTE” Chi commette questi reati ha bisogno di infrastrutture e di non essere tracciato. Violando un sito e caricando file e script, potranno inviare fake mail di phishing, virus e quant’altro usando l’Ip del nostro Server rendendo più difficile risalire ai reali crackers. AMPLIFICARE LA PORTATA Riuscendo a violare più siti, magari tramite la stessa falla comune, si possono veicolare virus/malware/ransomware a tante persone in breve tempo. I dati delle persone infette, sul mercato nero, hanno un valore $$$ WordCamp Bologna 2018 #wcbo #wcbo2018
  • 13. UN’IMMAGINE VALE PIÙ DI 1000 PAROLE Ecco il valore dei nostri dati sul Mercato Nero del Web Fonte: Armor.com – The Black Market Report WordCamp Bologna 2018 #wcbo #wcbo2018
  • 15. COME DIFENDERSI SERVER SIDE SECURITY A livello di Server esistono sw come Fail2Ban e Mod_Security che monitorano, intercettano e bloccano gli attacchi più comuni e/o noti. UPDATE Ovviamente mantenere sempre aggiornati alle ultime versioni WordPress, Temi e Plugin è sempre fondamentale per garantire la sicurezza del proprio sito! WORDPRESS SIDE SECURITY Plugin come Wordfence o Sucuri Security integrano in WordPress tutte le principali accortezze di sicurezza contro i principali attacchi. BACKUP Anche usando tutto il buonsenso e attuando tutte le pratiche ti bucano il sito? Il backup ti salverà! (a patto che sia al di fuori del tuo spazio web!) WordCamp Bologna 2018 #wcbo #wcbo2018
  • 16. Gli sviluppatori di WordPress fanno un ottimo lavoro garantendo un core robusto e sicuro! Non roviniamo tutto! “ WordCamp Bologna 2018 #wcbo #wcbo2018
  • 17. ATTACCHI WORDPRESS MARZO 2018 Fonte: Wordfence.com– March 2017 WordPress Attack Report WordCamp Bologna 2018 #wcbo #wcbo2018 PLUGINS TEMI
  • 18. WordPress ha un set di funzioni utili a sviluppare in SICUREZZA, USIAMOLE “ WordCamp Bologna 2018 #wcbo #wcbo2018
  • 19. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni
  • 20. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc) Utilizziamo i nonces di WordPress per evitare manipolazioni
  • 21. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
  • 22. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
  • 23. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Se utilizziamo nuovi ruoli utenti assegniamogli solo i permessi necessari Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc)
  • 24. SCRIVERE CODICE SICURO WordCamp Bologna 2018 #wcbo #wcbo2018 Utilizziamo i nonces di WordPress per evitare manipolazioni Utilizziamo le funzioni sanitize_*() per sanitizzare qualsiasi tipo di variabile utilizziamo nel nostro codice prima di utilizzarla Gestiamo sempre le eccezioni nel codice Se utilizziamo nuovi ruoli utenti assegniamogli solo i permessi necessari Verifichiamo sempre le variabili soprattutto se inviate dagli utenti o manipolabili dall’esterno (come le GET/POST) (is_email, isset, is_numeric,etc) Disabilitiamo l’Editor dei File che non utilizza nessuno ma può creare grossi problem define(‘DISALLOW_FILE_EDIT’,true);
  • 26. DOMANDE WordCamp Bologna 2018 #wcbo #wcbo2018