Archives For Links

Filtrando il tag dedicato al Sysprep ti troverai davanti a diversi articoli che parlano di questa pratica e dei vari problemi riscontrati nel corso delle versioni di Windows. Sysprep è un tool tanto bello quanto potenzialmente stronzo (sì, tanto per chiarire subito le cose), molto suscettibile e per certi versi delicato. L’ho imparato ancora una volta con Windows 10 1709, versione attualmente stabile del sistema operativo di Microsoft che verrà presto sostituita dalla Spring Update 2018 (1803).

Quello di oggi vuole essere il solito articolo “blocco appunti“, da rispolverare in caso di necessità (che magari torna utile anche a te che sei finito su questi lidi, non si sa mai).

Reinstallare Windows OEM quando il supporto di Recovery non c'è 7

Sysprep con Windows 1709

Da cosa partivo

Ti faccio il punto della situazione: con diversi modelli di PC Desktop e Laptop distribuiti all’interno del gruppo, siamo soliti tenere delle immagini master che possiamo facilmente clonare quando occorre preparare nuove postazioni, così da risparmiare tempo ed evitare facili errori dovuti alla distrazione. In questo modo ogni macchina è uguale all’altra (di base, con personalizzazioni software solo se giustificate e realmente necessarie).

La base di partenza era l’immagine di una nostra macchina con Windows 10 1703 (la Creators Update), pulita quanto basta, senza la robusta quantità di applicazioni installate da Store e con un parco software di terza parte “stretto indispensabile“. Chiaramente ho le immagini pre-sysprep da lavorare / modificare e chiudere all’occorrenza per la clonazione.

Cosa volevo ottenere

Un’immagine con upgrade in-place a 1709, perché quella 1703 era nata da zero, potevo quindi permettermi il lusso di lavorare su un aggiornamento anziché rifare tutto nuovamente da zero.

Cosa ho scoperto

Che –come già successo in passato– ci sono alcune accortezze da non lasciarsi sfuggire, perché comprometterebbero la corretta chiusura dell’immagine di sistema, particolare affatto simpatico dopo ore di lavoro. Sì perché c’è di mezzo ancora una volta l’installazione automatica di applicazioni UWP da parte dello Store (non richieste), suggerimenti (anch’essi non richiesti) e tutto ciò che in generale è legato alla chiave AutoDownload in HKLM\NewOS\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate e alla DisableWindowsConsumerFeatures in HKLM\Software\Policies\Microsoft\Windows\CloudContent.

Puoi trovare diverse informazioni in merito a questi argomenti su alcuni siti web di terza parte e su GitHub (dove ho trovato diversi spunti validi dedicati agli upgrade via SCCM, adattabili anche a utilizzi “one-shot” da chiave USB o rete:

A voler bloccare le installazioni non richieste su una macchina collegata in rete, che stai lavorando per aggiornare l’immagine “master” (pratica comunemente sconsigliata, proprio perché porta con sé rischi legati ad aggiornamenti che si scaricano e installano senza dirti nulla), potresti pensare di agire direttamente via batch sul registro:

:BloccoUpdate
:: Disable Windows Store Updates
:: 2 = always off
:: 4 = always on
REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate /v AutoDownload /t REG_DWORD /d 2 /f
:: Disable Consumer Experience
:: 1 = Off (disabled)
:: 0 = On (enabled)
REG ADD HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CloudContent /v DisableWindowsConsumerFeatures /t REG_DWORD /d 1 /f

Fai ora tutto quello di cui hai bisogno: aggiorna le applicazioni, aggiorna Windows, ritocca ciò che più ritieni opportuno, quindi grazie all’aiuto dell’Assistente aggiornamento Windows fai upgrade a 1709 e completa le prime operazioni necessarie. Quando sarai pronto, fai partire il Clean Manager per pulire i file non necessari sul disco del sistema, poi utilizza il mio script di PowerShell per togliere tutto l’inutile da Windows 10 (vedi qui) e rimetti a posto le chiavi di registro che hai precedentemente ritoccato:

:SbloccoUpdate
:: Disable Windows Store Updates
:: 2 = always off
:: 4 = always on
::REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate /v AutoDownload /t REG_DWORD /d 4 /f
:: Disable Consumer Experience
:: 1 = Off (disabled)
:: 0 = On (enabled)
REG ADD HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CloudContent /v DisableWindowsConsumerFeatures /t REG_DWORD /d 0 /f

A questo punto, salvo ulteriori problemi, sei pronto a chiudere l’immagine master e lanciare il Sysprep. È qui che potresti avere a che fare con un errore dovuto a MiracastView, sto finendo un articolo ad-hoc che verrà pubblicato nei primi giorni della prossima settimana (presumibilmente martedì), per dare continuità a quanto raccontato con questo pezzo.

Upgrade in-place verso Windows 1709

Ho perso il conto di quante macchine (sia aziendali che private) ho aggiornato senza il benché minimo problema a Windows 1703 (e prima ancora a 1607, nda). Con Windows 1709, almeno negli ultimi tempi, le cose non sono andate proprio nella stessa maniera. Su più configurazioni (macchine di diversi vendor) ho sempre sbattuto il muso contro un vicolo cieco oltre il quale non sono mai riuscito ad andare: quello del controllo pre-verifica spazio disco.

Appunti sparsi su Windows 10 1709, Sysprep e Upgrade in-place 3

Non sono stato il solo a scontrarmi con la dura realtà, sono in ottima compagnia: google.com/search?q=making+sure+you%27re+ready+to+install (e qui un thread a caso sul forum di Microsoft: answers.microsoft.com/en-us/windows/forum/windows_10-windows_install/upgrading-to-windows-10-stuck-at-making-sure-youre/0386fe6e-1570-45e3-b560-03512026e196).

Per fartela breve, perché immagino tu non voglia perdere lo stesso tempo che ho perso io, il metodo certamente funzionante è quello del doppio salto. Utilizzare quindi una chiave USB con a bordo Windows 1703, la quale riuscirà a effettuare l’upgrade dell’OS portandolo a Windows 10, per poi saltare internamente (tramite Assistente aggiornamento Windows) a Windows 1709.

Creare un supporto d’installazione Windows 1703

L’immagine di Windows 1703 è ritenuta vecchia e superata, e per questo motivo è un pelo più difficile trovarla (neanche tanto eh, ma di certo non è più così in bella vista). Per scaricarla, puoi appoggiarti a windowsiso.net, sito web che raccoglie lo storico delle installazioni Windows (da 7 in poi). Per andare al dunque, puoi puntare il browser all’indirizzo windowsiso.net/windows-10-iso/windows-10-creators-update-1703-download-build-15063/windows-10-creators-update-1703-iso-download-standard e scegliere lingua e architettura (x86 italiana, x64 italiana), se ci fai caso, i collegamenti sono diretti a server Microsoft, si tratta di immagini pulite e senza rischi (dovrai giusto sopportare la pubblicità all’interno del sito web e al clic del tasto Download, se non usi Adblock).

Diversamente, potresti seguire quanto spiegato sul forum Microsoft, senza passare da siti web di terze parti (procedura da me provata e perfettamente funzionante): answers.microsoft.com/en-us/windows/forum/windows_10-windows_install-winpc/how-to-download-official-windows-10-iso-files/35cde7ec-5b6f-481c-a02d-dadf465df326.

Una volta scaricata l’immagine, potrai appoggiarti a uno dei tanti tool esistenti per la creazione di chiavi USB installabili. Io, dato che lo avevo già tra le mani, ho usato il vecchio “Strumento di download in USB/DVD per Windows 7“, che al contrario del nome non è assolutamente limitato alla creazione di supporti per l’installazione del vecchio OS Microsoft, digerisce qualsiasi ISO. Si trova facilmente sui server di Microsoft (microsoft.com/it-it/download/windows-usb-dvd-download-tool e microsoft.com/en-us/download/details.aspx?id=56485),ma ne ho caricato anche una copia completa (fatta di URL ed eseguibili nelle varie lingue) nel mio spazio Box: app.box.com/s/r3j2rmcxl7nysazehfn8mvq2egqnltty.

Hai ora il file ISO e il tool per poter proseguire, cerca una memoria USB sufficientemente capiente (maggiore di 4 GB, nda).

Apri l’utility di Microsoft e seleziona il file ISO precedentemente scaricato, quindi procedi per poterlo andare a copiare su chiave USB e ottenere il tuo supporto per l’installazione su qualsiasi macchina (impiegherà un po’ di tempo al termine del passaggio 4, porta pazienza).

A lavoro terminato, espelli la chiave USB e utilizzala sul sistema che intendi migrare a Windows 10.

In conclusione

Spero di non aver dimenticato nulla per strada, mal che vada modificherò prossimamente l’articolo per integrare ciò che può mancare all’appello. Se hai dubbi in merito a quanto spiegato, lascia pure un messaggio in area commenti, cercherò di darti una mano se ne sarò in grado. Considera che -spero ormai a stretto giro- sarà disponibile per tutti Windows 1803, che potrebbe correggere gli ultimi problemi mostrati dall’upgrade in-place del 1709 facendoci risparmiare così tempo e imprecazioni (lo spero).

Per quanto riguarda l’argomento Sysprep, se hai ulteriori suggerimenti da integrare sei sempre il benvenuto, più informazioni ci si scambia, meglio è :-)

Buon lavoro!


ulteriori riferimenti: Andre Da Costa mantiene costantemente aggiornata una discussione / guida nel forum di Microsoft, sui vari passaggi necessari per aggiornare Windows 10 (nelle più disparate modalità), la trovi all’indirizzo answers.microsoft.com/en-us/windows/forum/windows_10-windows_install-winpc/how-to-upgrade-to-windows-10-version-1709-fall/617a37da-8fc0-4f33-a3eb-59fe9082f925

Condividi l'articolo con i tuoi contatti:

Volevo farlo già la scorsa settimana, ma poi non mi è riuscito. Qualcuno forse se lo ricorderà: tanti anni fa ero solito raccogliere delle letture alle quali dare un’occhiata durante il weekend, abitudine poi persa nel corso del tempo. Ammesso che ci siano notizie degne di nota e compatibilmente con il mio sempre poco tempo libero, vorrei riprendere quell’abitudine per parlare delle cose più interessanti accadute nell’arco della settimana, proponendoti riferimenti ai quali dare un’occhiata perché meritevoli di attenzione (valutazione chiaramente soggettiva, quindi non condivisibile!).

#LaSettimanaDi è dedicata ad Amazon e Cambridge Analytica.

Il #BlackFriday di Amazon è arrivato, occhio ai prezzi! 2

Amazon Prime

Gentile Cliente Prime,
Ti ringraziamo di essere un fedele cliente Amazon Prime.

Ti contattiamo per informarti di un imminente cambiamento al tuo abbonamento.
Il prezzo dell’abbonamento annuale aumenterà a EUR 36/anno (equivalente a EUR 3/mese) a partire dal 4 aprile 2018 per le nuove iscrizioni e, per dare notifica del cambiamento con adeguato anticipo, a partire dal 4 maggio 2018 per i clienti già iscritti. Il nuovo prezzo verrà applicato a partire dal tuo prossimo rinnovo in data 15 novembre 2018.

Le tue preferenze di rinnovo automatico dell’abbonamento rimangono invariate. Puoi scegliere di ricevere un promemoria via email prima della tua prossima data di pagamento o cancellare l’abbonamento quando vuoi. Puoi gestire il tuo abbonamento ad Amazon Prime da “Il mio account”.

Amazon Prime è una combinazione unica di benefici su spedizioni, shopping e intrattenimento, e continueremo ad investire per aumentarne ancora di più il valore per i clienti. L’abbonamento ti offre spedizioni illimitate in 1 giorno su oltre 2 milioni di prodotti e in 2-3 giorni su molti altri milioni. Continueremo ad aggiungere nuovi titoli alla selezione di Prime Video, incluse serie TV esclusive come McMafia, Philip K. Dick’s Electric Dreams e The Marvelous Mrs. Maisel. I clienti Amazon Prime beneficiano inoltre di Prime Photos, che offre spazio di archiviazione illimitato per conservare tutti i tuoi ricordi, e dell’accesso anticipato alle Offerte lampo, che ti permette di acquistare le tue offerte preferite con 30 minuti di anticipo. Puoi trovare la lista completa di tutti i benefici alla pagina Amazon.it/Prime.

Cordiali saluti,
Il Team Amazon Prime

Cosa fare quindi? Conviene ancora? Non c’è una risposta che possa andare bene a tutti i clienti Prime di oggi. Amazon non è brutto e cattivo per partito preso, e l’aumento era tutto sommato annunciato da tempo, o per lo meno ce lo si poteva aspettare considerando i prezzi che puoi trovare a listino per un abbonamento di pari livello nelle altre nazioni (ne ha parlato Luca qui, per renderti la vita più facile).

Io posso limitarmi a dire la mia, riportando il pensiero che ho già espresso nel corso della giornata dell’annuncio insieme agli amici, nella più classica delle formule “da bar“: dopo anni di sapiente costruzione e modellazione del mercato (non senza perdite economiche sopportate dai bilanci di altre sedi del colosso di Bezos, nda), Amazon ci ha fatto capire le sue potenzialità e la comodità di una consegna nell’arco di poche ore (su Milano) o nel corso della giornata lavorativa successiva all’ordine (e qui si infila anche la consegna al sabato), creando una nuova esigenza che fino a qualche tempo prima nessuno di noi aveva. Eravamo disposti ad attendere qualche giorno perché un prodotto ordinato arrivasse, tempi ben dilatati considerando l’epoca eBay o quella (questa esiste ancora oggi) del materiale importato da Cina e Giappone. Ai vantaggi già riportati dovrai aggiungere un servizio di assistenza clienti pressoché impeccabile (salvo qualche raro caso isolato), una garanzia sull’acquistato che dura due anni e durante la quale si può quasi sempre arrivare a ottenere il rimborso o la sostituzione completa del prodotto in caso di difetto (non procurato da te) e sconti / estensioni dell’abbonamento Prime in caso di mancata consegna nei tempi prestabiliti o –peggio– per un pacchetto perso nel tragitto.

Puoi accorpare più prodotti insieme raggiungendo la quota minima per evitare di pagare le spese di spedizione? Puoi attendere 48 ore per una consegna? Hai un monte ordini totale che non arriva alle 10 unità nell’arco dell’anno? Sono tutte domande (e relativi numeri alla mano) che dovrai porti.

Considera che una spedizione fuori dal programma Prime richiede 5,99€ (se non si raggiunge la quota minima per abbattere questo costo) e impiega 48 ore per raggiungerti. 36€ spalmati su 12 mesi equivalgono a circa 6 spedizioni, vuol dire almeno 6 prodotti ordinati singolarmente e consegnati nell’arco delle due giornate successive. Se in quelle 6 spedizioni sei capace di accorpare più prodotti, è chiaramente una cosa positiva perché potresti abbattere i 5,99€ richiesti (ma continueresti ad aspettare 48 ore per ottenere l’acquisto), diversamente supereresti invece la cifra richiesta per l’abbonamento, rendendo quindi il gesto della cancellazione dell’iscrizione molto stupido. L’asticella del commercio online è stata alzata, inutile negarlo, e riportarla dov’era prima può non essere così semplice per l’organismo ormai abituatosi ad avere il meglio in poco tempo.

Nota: in tutto questo non ho mai parlato dei servizi accessori (Prime Video, Prime Photos, Twitch Prime, ecc.), perché per me il core business di Amazon resta la vendita, la consegna e l’assistenza (pre e post) al cliente, tutto il resto è solo contorno che –volendo– si potrebbe anche fatturare a parte, togliendolo all’abbonamento Prime “nudo e crudo“. Se poi tu fai parte dei “fortunati” utenti con scadenza dell’abbonamento Prime prima del 4 maggio prossimo, non devi neanche pensarci, il rinnovo a 19,99€ durerà un anno ancora (sei a posto fino al 2019).

Da che parte della barricata ti schieri? Se sei una brutta persona come il sottoscritto, troverai molto divertenti (al limite del compassionevole) buona parte dei commenti all’articolo di DDay (uno dei primi che ha parlato dell’aumento, almeno in Italia).

Cambridge Analytica

Faccenda certamente spinosa e che lascia ampio spazio a fazioni di pensiero con le quali non ho alcuna voglia di confrontarmi (si finirebbe probabilmente in sterili flame con vicolo cieco all’orizzonte). Io una mia idea ce l’ho, e sono abbastanza d’accordo con quanto affermato da Matteo (video) e da Azael (articolo al seguito) in un pezzo che è un’evidente e spensierata analisi fondata sulla risata a mezzi denti, senza mandare sotto sforzo quella materia grigia che occorre invece metterci quando si parla di argomenti che analizzano la sicurezza e la privacy dei dati altrui.

View story at Medium.com

Il ragionamento di base è sempre lo stesso. I tuoi dati devono essere custoditi più o meno gelosamente in base all’interlocutore che hai dall’altra parte del monitor (fisico o virtuale, singolo o gruppo che sia), e più in generale bisognerebbe ricordarsi che Facebook non è alienamento dalla realtà che ci circonda, non è un esclusivo mondo virtuale distaccato dalla vita di tutti i giorni. In strada non risponderesti (probabilmente) al primo pirla che ti chiede dettagli riguardo la tua vita privata, gli amici, le preferenze di genere, sesso, politica, religione o chissà cos’altro, perché pensi che su Facebook invece questo vada fatto? Davvero vuoi conoscere il tuo nome nelle precedenti tre vite o il tuo possibile destino nel caso in cui tu fossi stato vampiro?

Usa la testa, usiamola tutti, sempre e comunque, che a fare i leoni da tastiera nessuno può davvero guadagnarci.

Oggi mi trovi al MERGE-it di Torino. Se vuoi, passa a prendere un caffè, sarò nell’aula dedicata a Mozilla Italia.

Buon fine settimana!

Condividi l'articolo con i tuoi contatti:

Qualche giorno fa ti ho parlato di Duo, plugin di sicurezza per WordPress che ho scelto come erede e sostituto di Authy, a seguito della cessazione dello sviluppo di quest’ultimo. Oggi ti propongo qualche nuova riga di testo per raccontarti come modificare il comportamento di Duo affinché non permetta null’altro se non la notifica push e il codice generato randomicamente (offline) per darti la possibilità di superare la fase di autenticazione 2-Step.

Duo Security: modificare i metodi di autenticazione concessi 3

Se la tua password è corretta e approdi alla schermata successiva, Duo permette –tra l’altro– di far partire una chiamata verso il numero di telefono da te associato all’account, dettando il codice di autenticazione a voce. Questo però necessita di crediti telefonici che, volendo usufruire delle funzioni gratuite di Duo, vanno contro il principio stesso di gratuità.

Per aggirare l’ostacolo, accedi alla Dashbord di Duo, quindi naviga in ApplicationsWordPress (dove WordPress in realtà potrebbe corrispondere al nome che tu hai voluto dare alla tua installazione da proteggere) → Policy. Qui, in linea con la voce Application policy, potrai specificare una nuova policy che conterrà una modifica ai metodi di autenticazione, come suggerito nella documentazione ufficiale del prodotto all’indirizzo duo.com/docs/administration-settings#authentication-methods.

Puoi ignorare tutto e andare direttamente alla voce Authentication Methods (paragrafo Authentication), togliendo il segno di spunta dall’opzione Phone callback, come nell’immagine qui di seguito:

Duo Security: modificare i metodi di autenticazione concessi 1

Salvando la nuova policy (alla quale dovrai dare un nome, e io ti consiglio di fare in modo che tu possa capire immediatamente di cosa si tratta!), questa verrà applicata all’applicazione protetta, confermato subito a video se non è stato commesso errore alcuno:

Duo Security: modificare i metodi di autenticazione concessi

La modifica è quindi già operativa e potrai tu stesso verificarla provando a collegarti alla tua installazione WordPress (magari da una sessione anonima del browser, se sei già connesso e autenticato). Noterai che gli unici metodi di conferma dell’identità disponibili saranno la notifica push (Duo Push) e un Passcode generato dall’applicazione di Duo randomicamente, come sempre accaduto con Google Authenticator o Authy:

Duo Security: modificare i metodi di autenticazione concessi 2

A questo punto potrai dimenticarti dei crediti telefonici e goderti l’autenticazione a due fattori gratuita, con la tranquillità del bivio doppio disponibile e che -in qualche maniera- ti permetterà sempre di accedere al tuo blog (o qualsivoglia altra applicazione protetta da Duo).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Da qualche tempo ormai, un paio di referer vengono utilizzati per tentare di verificare se esistono vulnerabilità all’interno dei WordPress in giro per il web (questo che leggi compreso), il che comincia a diventare abbastanza fastidioso. Si tratta ovviamente di movimenti eseguiti da bot che non fanno altro durante l’arco della giornata, ma che continuano a generare righe di log che ovviamente si notano lato server, cose che tu stesso in teoria potresti notare (se hai accesso ai log del tuo hosting), oppure utilizzando plugin come Redirection.

WordPress: bloccare site.ru e baidu.com (spam referer)

Non ho scoperto l’acqua calda certamente, c’è chi se n’è accorto da tempo (dai un’occhiata qui, oppure qui) e chi ha già fatto qualcosa in merito per impedire ulteriori accessi da quel tipo di referer HTTP. Ah già, a tal proposito, dovesse sfuggirti di che diamine sto parlando, propongo:

Il referer (o HTTP referer) è semplicemente l’URL di un elemento che conduce all’elemento corrente: ad esempio, il referer di una pagina HTML può essere un’altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente è venuto a conoscenza di una pagina. Il referer è parte integrante di una request HTTP inviata dal browser al webserver.

continua qui: it.wikipedia.org/wiki/Referer

Detto ciò, quello che puoi fare –nel caso in cui tu sia protagonista della stessa scocciatura– è mettere mano al tuo file .htaccess e prevedere l’esclusione dei referer di cui puoi fare tranquillamente a meno. Io in lista ti propongo anche baidu.com,

Baidu (百度=Bǎidù) è il principale motore di ricerca in lingua cinese in grado di ricercare siti web, file audio e immagini e secondo il sito Netmarketshare.com a novembre 2016 è il 3° motore di ricerca al mondo con un 7,54% di share dopo Bing che deteneva nello stesso periodo l’8,28%.

continua qui: it.wikipedia.org/wiki/Baidu

il quale compare in diverse righe di errore 404 perché tenta strani accessi o inclusioni di file non propriamente standard, motivo per il quale c’è quella ragionevole certezza che si tratti di un ulteriore attacco bot (spero mi perdoneranno gli amici cinesi che intendono utilizzare realmente il loro motore di ricerca preferito per arrivare a qualche mio articolo, ammesso che quegli amici esistano realmente, e che –soprattutto– vogliano leggere un mio articolo!).

Modifica del file .htaccess

Come già saprai, il file .htaccess si trova nella cartella principale del tuo WordPress e viene generalmente gestito da quest’ultimo o dai plugin installati (per esempio, quelli di sicurezza), occhio quindi a dove metti le mani. Apri il file in modifica e individua un “posto tranquillo” in cui depositare il nuovo codice, puoi copiare quanto di seguito e incollarlo subito prima della riga di commento “# END WordPress” che dovresti trovare intorno alla fine del file:

<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{HTTP_REFERER} site\.ru [NC,OR]
 RewriteCond %{HTTP_REFERER} www\.baidu\.com [NC]
 RewriteRule ^.* - [F]
</IfModule>

Salvando il file, dopo poco tempo dovresti già notare molta più pulizia all’interno dei tuoi log (e degli errori 404), con buona pace del tuo WordPress e delle molteplici volte che non sarà più costretto a rispondere negativamente ai tentativi di attacco, dai quali sta bene anche a debita distanza.

In alternativa

Beh, in alternativa si potrebbe passare da un diverso metodo, basato su IP o su regole di Redirection (il plugin di cui ti parlavo a inizio articolo, nda). Per la prima alternativa citata, qualcuno sta già facendo un buon lavoro di raccolta IP dai quali generalmente partono gli attacchi di site.ru, la trovi su GitHub all’indirizzo github.com/rogercomply/siteru-blocklist/blob/master/ipblocklist, e viene continuamente aggiornata (considera che -a ora che sto scrivendo l’articolo- l’ultimo aggiornamento riporta la data di due giorni fa).

Potresti pensare di copiare quegli IP e includerli all’interno della ban list di iThemes Security (altro plugin di cui ti ho parlato in passato), ricordando di tanto in tanto di passare a copiare e incollare la lista aggiornata.

La seconda alternativa passa invece da redirect di tipo 301, consegnando i bot su pagine alle quali chiedere perdono. Ho pensato quindi di rispolverare la vecchia storia del rilancio “stile proxy” verso siti web che possono dare la redenzione, come radiomaria.it.

Inaugurando un nuovo gruppo di filtri di Redirection chiamato “Strunz Interceptor” (poetico, lo so!), ho pensato di prevedere alcuni degli attacchi più classici e ripetitivi, rimbalzandoli verso la home page di Radio Maria. Ho raccolto quei filtri in un file CSV che puoi tranquillamente salvare e importare all’interno del tuo WordPress con Redirection installato. Ho salvato il tutto su Gist, così da poterlo aggiornare agilmente in futuro nel caso ce ne fosse bisogno:

Sentiti assolutamente libero di segnalarne di nuovi all’interno dei commenti di questo articolo o direttamente sotto al file Gist.

Condividi l'articolo con i tuoi contatti:

Nel 2016 ti avevo parlato di come potessi rendere molto più semplice e comoda l’autenticazione in due fattori del tuo WordPress appoggiandoti al plugin ufficiale di Authy. Oggi, a distanza di meno di due anni da quel mio articolo, sono costretto a mettere tutto da parte perché Authy ha dichiarato (alcuni giorni fa) di aver abbandonato lo sviluppo del plugin, chiedendo ai suoi utilizzatori di smettere di utilizzarlo e passare a qualcosa di diverso, supportato e aggiornato.

WordPress: migrazione da Authy OneTouch a 2FAS

Il mea culpa è d’obbligo perché solo qualche fa ho rispolverato (solo proponendo la lettura) quel vecchio articolo, perché non mi ero accorto dell’annuncio ufficiale di Authy comparso su Medium, loro piattaforma di pubblicazione degli articoli che li riguardano.

View story at Medium.com

Mi sono messo quindi alla ricerca di una valida alternativa, ponendo il cuore in pace riguardo l’autenticazione con tocco singolo e l’icona personalizzata nell’applicazione per smartphone / tablet / PC che Authy ha sempre proposto. Per la prima c’è rimedio (anche se si tratta nuovamente di appoggiarsi a qualcosa di custom che un bel giorno potrebbe cessare di funzionare), per la seconda sembra meno, “echissefrega” dirai tu, cosa che vale anche per me, perché l’importante è ripristinare il secondo layer di sicurezza post-inserimento e conferma password dell’account.

Quali alternative esistono?

Una pagina del Codex di WordPress parla proprio di autenticazione a due fattori e, tra le varie, suggerisce anche alcune alternative disponibili tra i plugin che si possono cercare e installare sul proprio blog fuori da WordPress.com: codex.wordpress.org/Two_Step_Authentication#Plugins_for_Two-Step_Authentication. Mi preme segnalarti che anche Jetpack (il famoso plugin di Automattic) propone una sua autenticazione in due fattori, ma ti costringe a passare dal sistema di login di WordPress.com che io ho personalmente evitato (preferisco tenere i mondi separati).

Cosa resta quindi? Beh, di plugin fortunatamente ce ne sono davvero tantissimi, e le regole sono sempre le stesse. Ti posso consigliare in linea di massima tutto ciò che viene ancora mantenuto (quindi aggiornato costantemente), supportato (basta dare un’occhiata alle richieste di assistenza, anche sul repository di WordPress.org) e con molte installazioni all’attivo. Nonostante ci siano plugin assolutamente robusti e non più aggiornati, non posso mettere la mano sul fuoco e dirti che ci sia certezza piena che oggi questi siano ancora in linea con le misure di sicurezza necessarie per la tua tranquillità.

Questo è l’elenco proposto a oggi dal Codex, trovi il mio commento messo subito di fianco:

  • Authy: che ha dichiarato disfatta e termine dello sviluppo lo scorso 12 gennaio.
  • Duo: quello che sto attualmente utilizzando e che meglio ti spiegherò nella seconda parte di questo articolo.
  • Google Authenticator: ciò che ho utilizzato prima di passare al plugin di Authy, che però non riceve aggiornamento alcuno da circa un anno.
  • Rublon: ancora aggiornato, ma con recensioni ben poco lusinghiere in merito a malfunzionamenti e possibili punti di debolezza, considerando inoltre che si tratta di un plugin che permette di impostare il 2FA per un solo utente per installazione (stesso blog ma due autori? Puoi usarlo solo pagando), forse non la migliore opzione per un blog amatoriale senza fini di lucro.
  • WordFence: sicuramente aggiornato e supportato, ma fa ben più di ciò che serve a me e te in questo momento.

A questo elenco potrei aggiungere le due varianti di 2FAS che ho avuto occasione di mettere alla prova, plugin in versione Lite e Pro che offre alcune intelligenti possibilità e che permette l’autenticazione a due fattori basata su codice randomico (si continua quindi a usare Authy, nda). 2FAS permette inoltre di aggiungere una macchina fidata all’elenco di quelle che possono evitare la 2FA al login (Trusted), oppure utilizzare un codice di backup offline precedentemente generato, in caso di emergenza. Buona velocità di login post-riconoscimento e una possibile alternativa che però non ha moltissime installazioni, aggiornate (entrambe) nell’arco degli ultimi 10 mesi.

La mia scelta: DUO

Voce della lista Codex, Duo è un prodotto evidentemente dedicato al business che però strizza l’occhio anche alle installazioni più piccole, casalinghe, un po’ come questa che stai leggendo. Contrariamente ad altri prodotti, “tiene in casa” il mezzo di autenticazione, quindi si va oltre l’applicazione di Authy che hai già su iOS o Android, ma in cambio ti dà il clic singolo per autorizzare un login via notifica push (ciò che sostituisce il OneTouch di Authy, nda) e un più snello sistema di associazione al tuo account poiché con uno solo di questo (connesso alla tua casella di posta elettronica e al tuo device preferito), potrai confermare il collegamento a più prodotti, senza necessità di creare un QR per ciascun nuovo sito web / WordPress.

Setup

Installa il plugin all’interno del tuo WordPress e intanto vai a creare un nuovo account sul sito web ufficiale partendo da questo documento: duosecurity.com/docs/wordpress.

Duo Two-Factor Authentication
Duo Two-Factor Authentication

La creazione di un account nuovo sul sito di Duo richiederà che tu abbia a bordo del tuo smartphone l’applicazione dedicata (puoi anche farne a meno se decidi di utilizzare SMS o chiamata, ma sconsiglio entrambe le alternative, nda), puoi scaricarla partendo da questi badge (o cercarla manualmente nel tuo store di riferimento):

Duo Mobile
Duo Mobile
Price: Free
Duo Mobile
Duo Mobile
Developer: Duo Security
Price: Free

Una volta inserito il tuo numero di telefono e pochi altri dettagli che ti riguardano, avrai accesso alla console di amministrazione del servizio, dalla quale si potrà cominciare a iniziare la fase vera e propria di configurazione dell’autenticazione a due fattori. Naviga in Applications, quindi fai clic su Protect an Application. Inizia a scrivere WordPress, poi fai clic su Protect this Application in sua corrispondenza:

WordPress: migrazione da Authy OneTouch a Duo

Nella schermata che ti si caricherà, avrai già a disposizione i 3 dati fondamentali per collegare Duo al tuo blog (e relativo plugin): Integration key, Secret key e API hostname. Copia e riporta nella pagina del plugin sul tuo blog i 3 dettagli, imposta i livelli che dovranno sottostare all’autenticazione a due fattori (Enable for roles) e infine scegli se disabilitare il protocollo XML-RPC di WordPress (occhio, serve a Jetpack). Conferma il tutto con Save Changes.

A questo punto partirà la configurazione dell’account utente associato a quel blog (e ai successivi che faranno uso del plugin e saranno associati alla stessa console di amministrazione, nda). Inserisci i dettagli richiesti (non dovresti aver necessità di specificare null’altro rispetto a quanto già inserito precedentemente) e scansiona il nuovo codice QR generato per l’applicazione Duo, quindi conferma l’accesso tramite notifica push.

Salvo errori, sarai ora connesso al tuo blog e ti troverai in Dashboard, con possibilità di gestire nuovamente la tua creatura, nuovamente protetta dall’autenticazione a due fattori.

Cos’altro c’è da dire

WordPress: migrazione da Authy OneTouch a Duo 5

Duo è uno di quei prodotti parecchio strutturati, ricco di funzioni che probabilmente mai avrai necessità di utilizzare, ma è certamente interessante scoprire la console e ogni sua voce, esplorare, modificare, sperimentare. Io non mi voglio addentrare in alcuna di queste perché la maggior parte sono legate a un abbonamento di tipo Premium dal costo di 6$/mese/utente che ti viene dato in prova per 30 giorni, oltre i quali l’account verrà scalato a gratuito (perdendo quelle caratteristiche extra), utile per gestire l’autenticazione a due fattori di WordPress ma anche di altre applicazioni (ecco, di quelle possiamo anche parlarne in futuro, in un altro articolo magari).

WordPress: migrazione da Authy OneTouch a Duo 6

Una chicca però che rimarrà c’è ed è subito sfruttabile, è quella relativa all’access log, una panoramica su chi ha fatto accesso, da dove / quando / perché / “un fiorino” (irresistibile, dovevo scriverla). Puoi darci un’occhiata anche tu andando in ReportsAuthentication Log:

WordPress: migrazione da Authy OneTouch a Duo 7

Ricordati che una rapida panoramica (contenente inoltre una mappa del mondo per mostrare graficamente i punti di accesso) è sempre disponibile nella pagina principale della Dashboard (di Duo, nda).

In conclusione

Credo di aver detto praticamente tutto e averti trattenuto più del dovuto sull’articolo (grazie per essere arrivato a leggere fino a qui), ma ci tenevo a pubblicare ogni dettaglio utile per la tua migrazione a un nuovo alleato per la 2FA su WordPress. Probabilmente in futuro proverò altre soluzioni ma, almeno per il momento, questa è quella che ho reputato essere la migliore nel rapporto tra pro e contro, di certo –per quanto riguarda questi ultimi– mi mancherà il non poter approvare l’accesso direttamente dall’applicazione installata sul mio PC, ma poco male, il telefono è quasi sempre a portata di mano.

Fammi sapere nei commenti se tu hai usato altre alternative, sai bene che mi piace sempre confrontare ogni possibile soluzione.

Cheers.

Condividi l'articolo con i tuoi contatti: