Author Archives: Mercury

Messa in sicurezza WordPress – Riservatezza (Autenticazione)

Messa in sicurezza WordPress – Riservatezza (Autenticazione)

In un sistema informatico, l’autenticazione degli utenti, è una delle prime misure di sicurezza atte a tutelare la riservatezza dei dati in esso contenuti.

L’autenticazione permette di verificare la corretta identità dell’utente, in modo da fornirgli i diritti necessari (autorizzazione) per utilizzare le diverse funzionalità fornite del sistema.
I diritti vengono definiti dal ruolo assegnatogli al momento della registrazione.

Ruoli utenti WordPress

I ruoli utenti in un sistema WordPress sono in ordine crescente di importanza:

  1. Sottoscrittore
    L’utente può solo gestire il proprio profilo
  2. Collaboratore
    L’utente può scrivere e gestire i propri articoli, ma non può pubblicarli
  3. Autore
    L’utente può scrivere, gestire e pubblicare i propri articoli
  4. Editore
    L’utente può scrivere, gestire, pubblicare i propri articoli e quelli di altri utenti
  5. Amministratore
    L’utente ha accesso a tutte le funzionalità amministrative del singolo sito

 

Rischi

a) Individuazione remota utente amministratore

L’utente amministratore è il profilo più bersagliato dagli attacchi da parte di utenti malintenzionati.

In una installazione standard di WordPress, all’utente amministratore viene assegnato il nome predefinito “admin” e l’identificativo (ID) numero 1.

Con un semplice comando del tipo:

http://www.esempio.it/?author=1

si riesce ad individuare il nome dell’utente amministratore (anche se è stato cambiato con un nome meno ovvio) e di qualsiasi altro profilo utente sostituendo l’ID dell’utente, facilitando il compito all’utente malintenzionato, al quale resta ora, solo indovinare la sua password.

Misure protettive

Installare plugin Stop user enumeration (vedi sito WordPress.org)

 

b) Nascondere il nome utente

Se durante la creazione di un nuovo utente, si compilano solo i campi “obbligatori” (nome utente e indirizzo e-mail) il nome utente (di accesso) corrisponderà al nome utente visualizzato nel sito WordPress (per es. come autore di articoli).

Misure protettive

Per evitare che il nome utente di accesso sia uguale al nome visualizzato, procedere in questo modo:

  1. Compilare i campi seguenti
    * “nome utente”
    * “indirizzo e-mail
    * “Nome” (digitare un nome diverso dal nome utente)
    * “Cognome” (digitare un cognome diverso dal nome utente)
  2. Nel campo “Password” digitare la password desiderata e cliccare sul pulsante “Aggiungere nuovo utente”

 

c) Atacchi di forza bruta (brute force)

L’installazione predefinita di WordPress, non prevede misure protettive per l’accesso alla pagina di login al pannello di amministrazione di WordPress (tipicamente http://www.dominio.estensione/wp-login.php).
Se lasciata senza protezioni, diventa facile bersaglio per attacchi di brute force, che consiste nel cercare di individuare la password dell’utente amministratore, tramite programmi automatici che sono in grado di testare migliaia di probabili password al minuto.

Misure protettive

1) Nascondere la pagina
Tramite specifiche istruzioni, tipicamente inserite nel file .htaccess di un’installazione WordPress in ambiente di hosting condiviso (oppure direttamente nel file di configurazione di Apache, nel caso di un server dedicato) si può nascondere la pagina di login, usando un alias al posto del nome predefinito

2) Impostare una password di accesso alla pagina e la cartella wp-admin
Tramite la funzione di protezione directories tramite password di cPanel si può impostare una password di accesso alla cartella wp-admin e di conseguenza alla pagina wp-login.php

3) Permettere l’accesso solo agli indirizzi IP dell’utente amministratore
Sempre tramite istruzioni nel file .htaccess si può impostare l’accesso alla pagina di login, solo agli indirizzi degli utenti amministratori del sistema

4) Impostare un’autenticazione a due fattori
Infine tramite l’utilizzo di plugin specifici, si può impostare l’accesso al pannello di amministrazione di WordPress, con un sistema di autenticazione a due fattori: la password dell’utente e un codice univoco usa e getta inviato all’utente amministratore tramite SMS

Traduzioni multilingue documentazione GDPR

Traduzioni multilingue documentazione GDPR

L’adeguamento alla normativa europea relativa alla protezione dei dati personali (Regolamento Europeo 2016/679 – GDPR, acronimo di General Data Protection Regulation)(*) prevede la redazione di una serie di documenti tra cui l’informativa sulla privacy e la gestione dei cookie da parte del sito web aziendale. (*) Copia ufficiale in italiano in formato PDF Mercury Translations… Continua

WordPress e GDPR

WordPress e GDPR

Guida per implementare il Regolamento GDPR in un sito WordPress Per essere in regola col nuovo Regolamento Europeo sulla privacy (2016/679), se avete un sito web che gira su piattaforma WordPress (o qualunque altra piattaforma!) dovete implementare una serie di accorgimenti, partendo dalla documentazione da inserire nel sito, eventuali componenti aggiuntivi da installare tramite la… Continua

Perché l’estensione .com è la scelta migliore per il posizionamento SEO

Perché l’estensione .com è la scelta migliore per il posizionamento SEO

Statistiche registrazione domini web Secondo le statistiche più recenti (2017)(*) fornite da Verisign, l’estensione di dominio più utilizzata in assoluto è .COM (abbreviazione del termine inglese commercial, estensione dedicata alle attività commerciali) con ben 134 milioni di domini registrati nel mondo! (*) Statistiche Verisign 2017   SEO (Ottimizzazione per i motori di ricerca) Il traffico dati… Continua

Vinexpo Hong Kong 2018

Vinexpo Hong Kong 2018

La più importante fiera del settore vitivinicolo nella zona dell’Asia/Pacifico, si terrà dal 29 al 31 Maggio 2018 presso il Convention and Exhibition Centre di Hong Kong. Per maggiori informazioni visitate il sito Vinexpo Hong Kong. Continua

La protezione dell’IP in Cina funziona bene!

La protezione dell’IP in Cina funziona bene!

La Cina ha un “ottimo sistema di protezione della proprietà intellettuale”, diverso da quello negli Stati Uniti, ma è giusto ed appropriato per la Cina, ha dichiarato un professionista americano all’agenzia Xinhua News. “Il problema che molti proprietari di marchi in occidente hanno, non è che in Cina il sistema di protezione sia difettoso, ma… Continua

Traduzioni per il contenzioso brevettuale

Traduzioni per il contenzioso brevettuale

Questioni legali di grande complessità ruotano intorno alla corretta interpretazione di ogni singola parola e al significato esatto di ogni frase. Una traduzione mediocre che lascia adito ad ambiguità ed errate interpretazioni vi espone al rischio di incorrere in violazioni brevettuali e subire azioni di risarcimento danni. La traduzione di documenti relativi a contenziosi su… Continua

Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito acconsenti a tutti i cookie in conformità alla nostra politica sui cookie. Ulteriori informazioni

Le impostazioni dei cookie su questo sito web sono impostate su "Consenti cookie" per offrirti la migliore esperienza di navigazione possibile. Se continui a utilizzare questo sito senza modificare le impostazioni dei cookie oppure fai clic su "Accetto" qui di seguito, acconsenti all’uso dei cookie.

Chiudi