Archives For Security

Rispondo a una domanda abbastanza comune che viene generalmente rivolta a mezzo mail o tra una chiacchiera e l’altra quando ci si trova con conoscenti che muovono passi autonomi sul web. WordPress è meraviglioso, è adatto a qualsiasi tipo di sito web e sì, può contare su una miriade di temi e plugin disponibili gratuitamente e a pagamento.

Quali sono però i 5 passi comuni per evitare che qualcosa vada storto esponendosi a un attacco dall’esterno? Provo a darti una base –spero– solida.

WordPress: 5 step per la sua (e tua) sicurezza

Questo nuovo articolo va a riprendere (parzialmente) e fare coppia con uno più vecchio, che trovi ancora qui. Cominciamo?

Occhio a username e password

Che vuol dire tutto e nulla.

WordPress: 5 step per la sua (e tua) sicurezza 3

Ciò che intendo è, per esempio, non utilizzare l’account amministrativo di default (che va quanto prima degradato a semplice utente, se non addirittura eliminato), in favore di un nuovo account da te appositamente realizzato, amministrativo, con username non facilmente indovinabile e con una password complessa (parleremo anche di password robuste quanto prima, ma ti porto a questa vignetta, che tanto spiega in merito). Non utilizzare la stessa password che hai già usato in passato per altri servizi. Fatti aiutare da un buon password manager se ti serve.

Inutile dire che l’autenticazione e due fattori è ormai una cosa fondamentale. Dai un’occhiata qui per capire di cosa sto parlando: gioxx.org/2016/09/01/wordpress-e-authy-autenticazione-onetouch.

Verifica i plugin installati

Che si traduce con:

  • utilizza dei plugin costantemente mantenuti, che non superino (se possibile) i 6 mesi dall’ultima data di aggiornamento;
  • cancella quelli non più utilizzati, che non ti servono, non pensare che un domani possano tornarti utili ancora, perché si fa sempre in tempo a ricercarli nuovamente e reinstallarli;
  • cerca di rimanere informato in merito ai loro cambiamenti, perché è facile che un attacco possa sfruttare falle in loro integrate (oppure in servizi a cui si appoggiano).

Capisco che spesso non è cosa semplice, però potrai sempre chiedere un aiuto alle community di condivisione e assistenza sul mondo WordPress in giro per il web, già più approcciabile per chiunque.

Aggiorna WordPress

Ma anche i plugin, che poi potrebbe ricadere nella voce precedente.

WordPress: 5 step per la sua (e tua) sicurezza 2

Tenere aggiornato ogni sistema (non solo operativo) è fondamentale per tappare falle scoperte e dichiarate, prima che qualcuno le sfrutti nella peggior maniera possibile. Quando viene pubblicata una nuova versione di WordPress, questa va a correggere problemi e anomalie generalmente importanti, che ti permettono di dormire sonni tranquilli. Per fortuna, salvo problemi o limitazioni imposte, WordPress aggiorna automaticamente ogni minor release, lasciando a te l’onere di pensare alle major.

Aggiornare costa solo un paio di clic, ma prima di farlo ricorda di verificare che non ci sia del codice personalizzato che possa smettere di funzionare in seguito all’operazione (chiedi aiuto al tuo sviluppatore nel caso non sia tu direttamente a occuparti del tuo blog).

Tieni sempre un backup aggiornato

WordPress: 5 step per la sua (e tua) sicurezza 4

Sia del database, sia dei file salvati sullo spazio disco del server. Se i secondi cambiano forse meno spesso (occhio però alle immagini e più in generale ai media caricati online), il primo è in costante crescita e modifica. Avere una copia di backup aggiornata è fondamentale per evitare di incorrere in possibili disastri (causati da te, dal tuo provider o da qualcuno di completamente estraneo).

Per portare a termine questa operazione esistono decine di plugin, sia gratuiti che a pagamento. Io ho scelto di affidarmi a BackUpWordPress della Human Made.

BackUpWordPress
BackUpWordPress
Price: Free

Comodo, molto personalizzabile e disponibile anche in versione gratuita limitata (io uso questa), lasciando fare poi a SyncBack il lavoro sporco (quello del download totale di tutti i file, backup compresi). Ce ne sono anche altri (di plugin, intendo), magari prova a dare un’occhiata a questo articolo di ThemeTrust pubblicato qualche tempo fa: themetrust.com/wordpress-backup-plugins (e provali sempre in ambiente di test, mai di produzione!)

Utilizza un plugin di sicurezza

WordPress: 5 step per la sua (e tua) sicurezza 1

Che sembra una sciocchezza, forse, ma non lo è. Un plugin di sicurezza ti aiuta a prenderti cura della tua installazione WordPress, suggerendoti dove mettere mano per evitare sgradite sorprese. Ne esistono di ogni tipo, e generalmente sono tutti in grado di suggerire buone strategie di protezione della propria area amministrativa, fare scansioni alla ricerca di possibili anomalie (sfruttabili dall’esterno), limitare gli accessi di ogni utente conosciuto (e non, soprattutto).

Io utilizzo da tempo iThemes Security (ex Better WP Security). Ne ho parlato in maniera approfondita in un precedente articolo disponibile qui:

Proteggere WordPress da login non autorizzati

Tutto chiaro? Al solito: per consigli, suggerimenti e critiche costruttive, l’area commenti è a tua totale disposizione, sempre ben felice di leggere cose nuove e interessanti! Per il supporto, invece, vi rimando al forum di ogni singolo plugin, o genericamente al forum della community italiana di WordPress.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

In tutta onestà pensavo a qualcosa di legato a uno specifico problema del driver video, e invece scopro che i nuovi ultrabook Lenovo della serie ThinkPad T nascono già con un bug più che fastidioso: una errata risoluzione video nel caso in cui si utilizzi un’immagine WinPE al boot, cosa più che normale considerando l’utilizzo di prodotti come Acronis o Macrium in ambito aziendale (o anche amatoriale, magari in un ambiente di laboratorio personale).

Problemi di risoluzione video per Macrium e Lenovo T470s

Dopo diversi tentativi portati a termine in autonomia (e andati a vuoto, nda) ho provato a dare un’occhiata sul web, trovando parecchi riferimenti a questo problema. Basta infatti una ricerca in Google per farli saltare fuori pressoché tutti, senza considerare l’esistenza di una nota ufficiale da parte di Lenovo che riporta i dettagli del problema e il fatto che si tratti di un’anomalia dell’ADK 1607: support.lenovo.com/it/it/solutions/ht503599.

Sia chiaro, l’ADK 1607 ha sempre (da quando esiste, chiaro) funzionato egregiamente su portatili Lenovo antecedenti l’ultimo arrivato, uso infatti le chiavi di boot USB generate da Macrium per clonare T440s, T450s e T460s che abbiamo in circolazione da queste parti, senza avere la necessità di indovinare a quanti tab di distanza si trova il pulsante Next che mi permetterà di proseguire con l’azione richiesta a video, cosa che viene resa ancora più difficile dalla totale mancanza di shortcut da tastiera o barre per movimenti orizzontali e verticali nella finestra attiva (e queste sono entrambe pecche di Macrium, giusto per dare a Cesare quel che è di Cesare).

Io la soluzione proposta da Lenovo l’ho già provata, senza successo però. Ho cercato anche di adottare alcune delle proposte riportate nei vari thread del forum di Macrium (qui faccio un solo esempio: forum.macrium.com/Topic13526-1.aspx), ma anche in questo caso ho avuto scarsi risultati degni di nota. Ho persino caricato i driver video specifici del modello T470s (che monta una scheda video integrata Intel HD Graphics 620, per dovere di cronaca) all’interno della relativa cartella presente su chiave USB, così da permetterne il caricamento in avvio dell’interfaccia principale, il vuoto più totale e la triste realtà della sola risoluzione disponibile da menu a tendina (640×480).

Problemi di risoluzione video per Macrium e Lenovo T470s 1

Cosa rimane da fare?

Due le possibili alternative. La prima richiede un semplice “remember“, la seconda è forse più comoda ma si tratta di un work-around che passa da tutt’altro binario. La finestra che Macrium apre –per esempio– in fase di ripristino immagine, ha il pulsante Next a quattro colpi di tabulatore dal tuo clic su “Restore Image“, la voce che dovrai selezionare una volta specificata l’immagine sorgente. I quattro colpi di tabulatore ovviamente vanno calcolati (e dati) nel momento in cui avrai specificato su quale disco effettuare il restore:

Problemi di risoluzione video per Macrium e Lenovo T470s 2

Il comando viene accettato alla pressione del tasto barra spaziatrice, contrariamente a quello che si potrebbe pensare (io avevo dato per scontato l’Invio, tanto per dire). Se al posto della schermata successiva si dovesse aprire l’help (in alcune versioni di Macrium può capitare), i colpi di tabulatore da dare saranno 5 anziché 4.

Capito l’antifona? Vale per qualsiasi mossa “fuori risoluzione” della WinPE di Macrium.

L’alternativa, che ho percorso, è stata quella di preparare una chiave di boot USB con un’immagine di Windows 10 contenente altri strumenti di lavoro, utili per un recupero dati, una base di partenza già pronta e disponibile gratuitamente visitando Ten Forums: tenforums.com/software-apps/27180-windows-10-recovery-tools-bootable-rescue-disk.html

La ISO contiene già diversi programmi utili all’amministratore di sistema, tra cui Macrium e Acronis, tanto per citarne un paio di un certo livello. A te non resta che cercare una chiave USB capiente “il giusto” (ti bastano 4 GB, per la cronaca) e quel WinSetupFromUSB che servirà a renderla avviabile (chiaramente dovrai selezionare il caricamento di una immagine basata su Windows Vista / 7 / 8 / 10 / ecc.), dai un’occhiata a questo articolo se non sai di cosa sto parlando.

L’immagine è già perfetta e con driver video che permetteranno di sfruttare la nativa risoluzione del PC, così da sopperire a quella mancanza che altrimenti ti renderebbe più difficile la clonazione della macchina.

Mi sembra di non aver dimenticato nulla, o almeno spero.

Buon lavoro.

Condividi l'articolo con i tuoi contatti:

Mi scrive Marika, di CopyTrans (ho parlato del loro software qualche tempo fa), introducendomi un nuovo prodotto, qualcosa di relativo alla sicurezza e che continua a rimanere nel perimetro Apple. Si chiama CopyTrans Cloudly:

A while ago you wrote about CopyTrans, so we thought you might be interested in our latest app, CopyTrans Cloudly. It can delete and download photos from iCloud to PC all at once. This is as opposed to icloud.com, which requires you to go one-by-one.

We also have a unique feature developed by our programmers that allows us to recover permanently deleted photos. It actually helped us discover some serious Apple privacy breach. You can read about it here: copytrans.net/blog/like-the-titanic-icloud-photos-are-easy-to-sync-but-might-stay-there-forever

CopyTrans Cloudly: cancellare definitivamente le foto di iCloud

Riepilogando: le fotografie, seppur cancellate dai propri dispositivi, vengono spostate nel cestino di iOS, una sorta di soft-delete dei file, che possono così essere facilmente recuperati già dal proprio smartphone, tablet o PC. Questo però lo si sapeva già da tempo.

Il problema nasce nel momento in cui la fotografia viene cancellata definitivamente, anche dal cestino, ordinando così ad Apple di distruggerla dai loro server, cosa che secondo CopyTrans non accade per almeno un anno (circa). Per questo motivo, un’applicazione rilasciata gratuitamente (CopyTrans Cloudly, chiaramente), permette di metterci una pezza e fare quello che andava fatto sin da subito, cancellando definitivamente i file precedentemente eliminati, o permettendone il recupero nel caso in cui torni utile questa “svista” (?) di Apple.

Ho provato a utilizzare l’applicazione ma, nel mio caso, ha ben poca utilità. Io ho disabilitato (su ambo gli account che utilizzo) l’upload delle fotografie nel Cloud. Non l’ho fatto per paranoia o perché non sia comodo. Sono un utente Google e spesso cerco di utilizzare suite di prodotti di uno stesso sviluppatore, e nello specifico credo che Google Photo sia un ottimo prodotto che si sta evolvendo parecchio nel corso dei mesi, e che ha superato già da tempo la iCloud Photo Library. Le fotografie scattate da iOS o Android finiscono nel mio account Google, fine dei giochi.

CopyTrans Cloudly: cancellare definitivamente le foto di iCloud 1

Ho quindi riabilitato il servizio sul mio iPad e fatto qualche prova, e in effetti va esattamente come dice CopyTrans. Ho catturato qualche screenshot di test, dagli un’occhiata (fai clic sulla prima fotografia per aprire la galleria e leggere la descrizione completa dei passaggi):

L’applicazione funziona su sistemi Windows, si scarica gratuitamente da copytrans.net/copytranscloudly e non necessita di installazione, funziona da subito ed è perfettamente compatibile con l’autenticazione a due fattori. Le credenziali non vengono (credo volutamente) memorizzate: se chiudi l’applicazione e la riapri, sei costretto ad autenticarti ancora. È un tool che puoi tenere sicuramente a portata di mano, utile a chi necessita di disintossicarsi da iCloud e non vuole aspettare i tempi di pulizia di Apple.

Condividi l'articolo con i tuoi contatti:

Più che un articolo complesso, una pillola che potrebbe tornare utile nelle ricerche di Google (e per imperitura memoria del sottoscritto). Si parla ancora di Sysprep, nonostante io abbia già pubblicato qualcosa in merito da poco, con però un riferimento specifico a Windows 10 (in attuale versione Creators Update 1703). Una macchina nuova appena preparata e pronta per essere “chiusa e resa clonabile“, un errore a video che lascia molto spazio a imprecazioni variopinte:

Sysprep was not able to validate your Windows Installation (Bitlocker)

Io quel log l’ho aperto, e ci ho trovato una serie di informazioni anomale, perché relative al Bitlocker mai configurato sul PC:

2017-07-25 10:59:42, Info [0x0f0080] SYSPRP ActionPlatform::LaunchModule: Found 'ValidateBitLockerState' in C:\Windows\System32\BdeSysprep.dll; executing it
2017-07-25 10:59:42, Error SYSPRP BitLocker-Sysprep: BitLocker is on for the OS volume. Turn BitLocker off to run Sysprep. (0x80310039)
[gle=0x00000001]
2017-07-25 10:59:42, Error [0x0f0082] SYSPRP ActionPlatform::LaunchModule: Failure occurred while executing 'ValidateBitLockerState' from C:\Windows\System32\BdeSysprep.dll; dwRet = 0x80310039[gle=0x00000001]
2017-07-25 10:59:42, Error SYSPRP SysprepSession::Validate: Error in validating actions from C:\Windows\System32\Sysprep\ActionFiles\Generalize.xml; dwRet = 0x80310039
2017-07-25 10:59:42, Error SYSPRP RunPlatformActions:Failed while validating SysprepSession actions; dwRet = 0x80310039
2017-07-25 10:59:42, Error [0x0f0070] SYSPRP RunExternalDlls:An error occurred while running registry sysprep DLLs, halting sysprep execution. dwRet = 0x80310039
2017-07-25 10:59:42, Error [0x0f00d8] SYSPRP WinMain:Hit failure while pre-validate sysprep generalize internal providers; hr = 0x80310039
2017-07-25 10:59:55, Info [0x0f0052] SYSPRP Shutting down SysPrep log

In realtà, incuriosito da quel lucchetto aperto e il segnale di Warning sul disco del sistema operativo, ho scoperto che la protezione dei dati c’è, anche se non si vede. In pratica, quello che Windows 10 Creators Update fa, è una pre-attivazione di Bitlocker, il sistema che permette di criptare i dati ospitati su disco e che consiglio caldamente di utilizzare nel caso in il tuo PC portatile ti segua in tutti i tuoi spostamenti. Aprendo il Pannello di Controllo e portandoti sulla voce relativa alla sicurezza dei dati, noterai una schermata simile (io l’ho recuperata in inglese, ho dimenticato di fare uno screenshot al SO che stavo preparando!):

Sysprep was not able to validate your Windows Installation (Bitlocker) 1

A questo punto hai una sola possibilità: dato che non puoi lanciare un Sysprep di una macchina con Bitlocker attivo, dovrai prima disattivarlo e quindi -una volta terminata la decrittografia- rilanciare il processo di chiusura (Sysprep, appunto). Per farlo ti consiglio di utilizzare la Powershell, nettamente più rapida di una criptazione completa dei dati e successiva decrittografia.

Apri una finestra di PowerShell e lancia il comando Disable-BitLocker -MountPoint "C:", dove C: è la lettera corrispondente al disco che ospita il sistema e che ti sta dando questo problema. A questo punto dovrai semplicemente attendere che la decrittografia venga completata, a quel punto non dovresti più avere errori a video:

 esc.


fonti utilizzate:
Condividi l'articolo con i tuoi contatti:

Lo scorso 30 giugno Authy (fai clic qui se non sai di cosa sto parlando) ha annunciato la disponibilità di una prima versione beta del suo client per PC Windows e macOS:

View story at Medium.com

Dopo anni passati tra smartphone (o tablet) e la sola estensione per Google Chrome, sembra che finalmente si sia arrivati a un’intenzione concreta, per portare l’autenticazione a due fattori più vicino a ciò che spesso la richiede, un PC. Ci si autentica al servizio desiderato e si ottiene il codice direttamente con un ALT + TAB (Windows, ovviamente, su macOS ⌘⇥), il tutto risparmiando preziosi secondi ed escludendo l’ingaggio di uno smartphone che spesso si vorrebbe lasciare in tasca, o nel cassetto della scrivania.

Il pacchetto di installazione si scarica dal sito web ufficiale e Authy invita gli utilizzatori a inviare ogni feedback all’indirizzo di posta elettronica beta@authy.com, per permettere agli sviluppatori di correggere rapidamente errori e sviste, ma anche di introdurre quanto prima tutte le funzioni già disponibili sul ben più stabile e ricco client per Android e iOS.

La funzione di OneTouch Authentication, che è una tra le cose più interessanti e comode dell’applicazione Mobile, arriverà anche su questa beta PC / macOS di Authy, insieme alla versione del programma per i sistemi Linux. Ciò che nel frattempo puoi già fare e che consiglio caldamente, è proteggere (ulteriormente) i tuoi accessi 2-Step tramite codice di sblocco del nuovo software beta (la Master Password, stesso concetto messo in atto sul software mobile).

In attesa che vengano rilasciate nuove versioni di Authy PC (da capire se riuscirà questa ad aggiornarsi in autonomia o se sarà necessario scaricare e installare manualmente un nuovo pacchetto prendendolo dal sito web dell’azienda), a te non resta che tenerti una copia installata sul tuo smartphone e mettere in funzione anche la versione PC, così da avere sempre a portata di mano i tuoi codici di autenticazione randomici.

Authy
Authy
Developer: Authy Inc.
Price: Free
Authy 2-Factor Authentication
Authy 2-Factor Authentication
Developer: Authy
Price: Free

esc.

Condividi l'articolo con i tuoi contatti: