E per chi se lo è perso ecco le slide di sabato scorso al WordCamp Bologa dove si è parlato di WordPress e sicurezza.
In breve si tratta di qualche semplice spunto per rendere più difficile l’utilizzo di un qualsiasi exploit che è possibile mettere in pratica senza l’installazione di plugins.
Questa è una versione aggiornata e migliorata rispetto a quella presentata il giugno scorso.
… e se le slide non vi bastano prossimamente saranno anche pubblicati i video dei singoli interventi.
update: qui il link per scaricare il file .htaccess di cui parlo nelle slide
Ho assistito al tuo speech. Innanzitutto complimenti! Credo sia stato il più apprezzato.
Ho trovato il tuo .htaccess su github, l’ho provato così com’è su un mio sito manon funziona. Ci sono forse dei parametri da modificare?
Grazie, ciao
@claudio, come minimo devi modificare almeno i percorsi relativi alla tua installazione rimuovendo o sostituendo “app” con la cartella.
Nell’esempio che vedi online io considero di avere una struttura di questo tipo:
– app (wordpress)
– public (plugin e template)
– files (upload)
(puoi vedere i dettagli nella slide di esempio struttura)
altra cosa che devi modificare è poi la loginkey che sarebbe meglio personalizzassi
Modificare la struttura è fuori dalla mia portata!
In questo momento mi acconterei di evitare enumering e l’accesso al file wp-login.php.
Farò delle prove con la mia inesistente conoscenza del codice.
Grazie. Ciao
@claudio, fammi sapere se ci riesci in autonomia…
nel caso ti servisse ho aggiunto su github un secondo file con una versione dell’htaccess per le installazioni vanilla (senza modifica della struttura).
non è testata ma dovrebbe funzionare.
https://gist.github.com/3003290
Ho caricato il file .htaccess nella root del mio sito WordPress, ma il login rimane accessibile senza password.
Probabilmente il tuo file è da parametrare con i dati del mio dominio, ma non ho capito dove.
Grazie, ciao
Claudio
mod_rewrite è attivo?
vuoi darmi un link così faccio una verifica veloce?
E’ un sito di prova su cui sto testando un po’ di cose.
http://www.a-tools.net
Grazie per l’attenzione
Ciao
Claudio
ho guardato il link che mi hai dato e vedo che wp è installato dentro la directory home.
le regole dell’htaccess devono essere quindi riscritte aggiungendo il percorso corretto altrimenti non funzionerà mai.
in pratica tutte le volte che trovi “wp-login.php” devi scrivere “home/wp-login.php”
ps
ma perchè è installato in una sottodirectory?????
Non so perché l’ho messo in una sottodirectory, ma ho preso questa abitudine e lo faccio sempre.
Provo a seguire le tue indicazioni, ma hai notato che non si raggiungono più le altre pagine?
L’inserimento del path completo caorreggerà questo problema?
Mi hai messo un dubbio atroce rispetto alla sottodirectory! Se sposto l’intero sito WordPress nella root cosa succede ai motori di ricerca? Non trovano più le pagine?
Mi consiglieresti di farlo?
Ciao Maurizio, ho trovato le slide del tuo intervento ‘per sbaglio’, ho saputo tardi del wordcamp… solo per dirti grazie di aver menzionato WPScan!
Grazie a voi per tutto il lavoro di aggiornamento che continuate a fate…
Ciao,
ho visto le tue slide e wow! *_* È tutto quello che cercavo.
Una sola domanda. Strutturando la root del sito così, durante l’aggiornamento di wp viene persa o wp riconosce i nuovi percorsi e lo installa correttamente?
Grazie mille e complimenti ^^
Se è tutto configurato bene gli aggiornamenti funzionano perfettamente.
Diciamo che a volte è necessario dare qualhe “martellata” a template e plugin…
ciao maurizio e complimenti per la chiarezza espositiva.
volevo chiederti alcune cose:
ho un istallazione basata su un piccolo framework(un tema premium)
,potrei avere problemi con ?:
-un plugin di caching.
-il login degli utenti per i documenti riservati.
-aggiornamenti del framework.
grazie ciao
dipende da come sono stati sviluppati i diversi plugin.
io con batcache e w3totalcache non ho avuto problemi ma con altri plugin e template sì in quanto alcuni percorsi erano stati messi a mano.
l’unica è fare una prova.
per esperienza posso dirti che mettere in sicurezza su un’installazione già finita richiede sempre un po’ di lavoro.