WordPress Hardening [wordcamp bologna 2012]

E per chi se lo è perso ecco le slide di sabato scorso al WordCamp Bologa dove si è parlato di WordPress e sicurezza.

In breve si tratta di qualche semplice spunto per rendere più difficile l’utilizzo di un qualsiasi exploit che è possibile mettere in pratica senza l’installazione di plugins.
Questa è una versione aggiornata e migliorata rispetto a quella presentata il giugno scorso.

… e se le slide non vi bastano prossimamente saranno anche pubblicati i video dei singoli interventi.

update: qui il link per scaricare il file .htaccess di cui parlo nelle slide

 

 

16 Replies to “WordPress Hardening [wordcamp bologna 2012]”

  1. Ho assistito al tuo speech. Innanzitutto complimenti! Credo sia stato il più apprezzato.
    Ho trovato il tuo .htaccess su github, l’ho provato così com’è su un mio sito manon funziona. Ci sono forse dei parametri da modificare?
    Grazie, ciao

  2. @claudio, come minimo devi modificare almeno i percorsi relativi alla tua installazione rimuovendo o sostituendo “app” con la cartella.
    Nell’esempio che vedi online io considero di avere una struttura di questo tipo:
    – app (wordpress)
    – public (plugin e template)
    – files (upload)
    (puoi vedere i dettagli nella slide di esempio struttura)

    altra cosa che devi modificare è poi la loginkey che sarebbe meglio personalizzassi

  3. Modificare la struttura è fuori dalla mia portata!
    In questo momento mi acconterei di evitare enumering e l’accesso al file wp-login.php.
    Farò delle prove con la mia inesistente conoscenza del codice.
    Grazie. Ciao

  4. @claudio, fammi sapere se ci riesci in autonomia…

    nel caso ti servisse ho aggiunto su github un secondo file con una versione dell’htaccess per le installazioni vanilla (senza modifica della struttura).

    non è testata ma dovrebbe funzionare.

    https://gist.github.com/3003290

  5. Ho caricato il file .htaccess nella root del mio sito WordPress, ma il login rimane accessibile senza password.
    Probabilmente il tuo file è da parametrare con i dati del mio dominio, ma non ho capito dove.
    Grazie, ciao
    Claudio

  6. ho guardato il link che mi hai dato e vedo che wp è installato dentro la directory home.

    le regole dell’htaccess devono essere quindi riscritte aggiungendo il percorso corretto altrimenti non funzionerà mai.

    in pratica tutte le volte che trovi “wp-login.php” devi scrivere “home/wp-login.php”

    ps
    ma perchè è installato in una sottodirectory?????

  7. Non so perché l’ho messo in una sottodirectory, ma ho preso questa abitudine e lo faccio sempre.
    Provo a seguire le tue indicazioni, ma hai notato che non si raggiungono più le altre pagine?
    L’inserimento del path completo caorreggerà questo problema?

  8. Mi hai messo un dubbio atroce rispetto alla sottodirectory! Se sposto l’intero sito WordPress nella root cosa succede ai motori di ricerca? Non trovano più le pagine?
    Mi consiglieresti di farlo?

  9. Ciao,
    ho visto le tue slide e wow! *_* È tutto quello che cercavo.
    Una sola domanda. Strutturando la root del sito così, durante l’aggiornamento di wp viene persa o wp riconosce i nuovi percorsi e lo installa correttamente?

    Grazie mille e complimenti ^^

  10. ciao maurizio e complimenti per la chiarezza espositiva.
    volevo chiederti alcune cose:
    ho un istallazione basata su un piccolo framework(un tema premium)
    ,potrei avere problemi con ?:
    -un plugin di caching.
    -il login degli utenti per i documenti riservati.
    -aggiornamenti del framework.
    grazie ciao

    1. dipende da come sono stati sviluppati i diversi plugin.
      io con batcache e w3totalcache non ho avuto problemi ma con altri plugin e template sì in quanto alcuni percorsi erano stati messi a mano.

      l’unica è fare una prova.
      per esperienza posso dirti che mettere in sicurezza su un’installazione già finita richiede sempre un po’ di lavoro.

Leave a Reply

Your email address will not be published. Required fields are marked *