news nella knowledge base

La knowledge base di NewMediaLabs è uno strumento importante e prezioso per i nostri utenti: molto spesso è facile trovarvi già pronta la soluzione di grandi e piccoli problemi che possono affliggere un sito.

Segnaliamo alcuni recenti articoli ed integrazioni della nostra knowledge base:

Nuovi inserimenti recenti:

• Il mio sito è stato violato da un hacker: come è potuto accadere?
• Come rendere più sicura l'installazione di Wordpress
• E' possibile gestire record DNS di tipo SPF?
• E' possibile attivare una connessione HTTPS per un sito?
• Come trovare l'indirizzo PEC di un'azienda

Modifiche ed aggiornamenti:

• come richiedere un authcode

installazioni Wordpress sotto attacco

Pare essere in corso a livello mondiale un imponente attacco contro le installazioni Wordpress.
Partito originariamente dagli USA, si è rapidamente diffuso nel resto del mondo.


L'attacco è finalizzato a violare l'account "admin" dell'installazione, e quindi procedere all'inserimento all'interno del sito di codice malevolo.

L'attacco è altamente distribuito, utilizza per lo più IP contraffatti, ed utilizza vulnerabilità e criticità intrinseche della singola installazione di Wordpress: quindi, non può esser prevenuto a livello di server, ma deve esser gestito dal singolo utente di Wordpress.

Wordpress è oggi il CMS più comune e diffuso: solo nei nostri piani di hosting shared ospitiamo oltre un migliaio di siti che lo utilizzano (senza contare le installazioni su VPS o server dedicati), e quindi riteniamo importante fornire alcuni suggerimenti per aumentare la sicurezza della propria installazione:

MISURE MINIME DA ADOTTARE PER LA SICUREZZA DI UN'INSTALLAZIONE WORDPRESS

• aggiornate Wordpress e tutti i plugin installati all'ultima versione disponibile
  
• installate i plugin di sicurezza elencati su http://wordpress.org/extend/plugins/better-wp-security/
  
• assicuratevi di utilizzare per l'utente admin una password molto "robusta"
  (almeno 10 caratteri, utilizzando lettere maiuscole e minuscole, numeri, caratteri speciali; qualcosa del tipo "fyU7b!vfPjASnw")

Altri suggerimenti per aumentare la sicurezza di un'installazione Wordpress sono disponibili al seguente link:
http://codex.wordpress.org/Hardening_WordPress

MISURE SUPPLEMENTARI 

NOTA: non tutte queste misure sono adottabili all'interno di un piano di hosting shared. Alcune sono destinate solo a chi ha installazioni all'interno di VPS o server dedicati.

• Disabilitate il comando DROP per l'utente DB_USER
  (il comando DROP è virtualmente inutile per l'installazione di Wordpress)
  
• Rimuovete i file README ed i file di licenza
  (in quanto rendono disponibili informazioni sulla versione utilizzata)
  
• spostate il file wp-config.php ad un livello di directory superiore, ed impostate i relativi permessi a  400
  
• prevenite la possibilità di lettura del file htaccess
  
• limitate l'accesso a wp-admin solo a specifici IP

SE RISCONTRATE UNA VIOLAZIONE DI UNA VOSTRA INSTALLAZIONE WORDPRESS IN UN HOSTING SHARED O FRACTO:

segnalateci immediatamente il fatto con un ticket su panel.newmedialabs.it