Archives For Wp-Hack

Ciao, articolo di servizio per dirti che – se mi stai leggendo per temponon devi aggiornare il plugin BackupWordPress allaneonataversione 3.9 rilasciata una manciata di ore fa (circa 16 a ora che sto scrivendo l’articolo), questa causa un errore fatale che manderà in crash il tuo blog e che ti costringerà a passare dalla porta di servizio per rimediare (la porta di servizio è quella offerta dal nuovo servizio di Recovery integrato in WordPress 5.2).

Non aggiornare BackupWordPress alla versione 3.9 (per il momento)

Il bug viene minuziosamente descritto qui su GitHub, segnalato da un utente che si è ritrovato nella medesima situazione del sottoscritto: github.com/xibodevelopment/backupwordpress/issues/1206. Come già successo in passato (vedi l’articolo Possibile problema in BackupWordPress 2.3) il modo di rimediare c’è e lo si può mettere in atto facilmente connettendoti in FTP al tuo spazio web e rinominando la cartella del plugin (wp-content/plugins/backupwordpress) in backupwordpress_ (per esempio, ma vale qualsiasi altro nome), questo non permetterà al tuo WordPress di trovare i file del plugin e di conseguenza disattiverà quest’ultimo consentendoti di far tornare operativo il sito web.

Rimanere con la vecchia versione fino a nuovo ordine

Se vuoi rimettere in pista la vecchia versione di BackupWordPress in attesa che ne venga rilasciata una nuova che corregge il bug puoi scaricarla direttamente dal repository ufficiale all’indirizzo downloads.wordpress.org/plugin/backupwordpress.3.8.zip. Scompatta il file ZIP, cancella la cartella attuale di BackupWordPress sul tuo spazio web e carica quella che hai appena scompattato, le impostazioni sono salvate nel tuo database e non verranno quindi perse.

Correggere il bug presente e rimanere con la 3.9

Un thread nel forum di supporto del plugin suggerisce una via alternativa per risolvere il problema generato dal nuovo BackupWordPress: wordpress.org/support/topic/how-i-fixed-3-9-crash.

Puoi lanciare l’aggiornamento alla versione 3.9 (quindi il tuo WordPress diventerà momentaneamente non funzionante), nel frattempo scarica e scompatta il contenuto della versione 3.8 (downloads.wordpress.org/plugin/backupwordpress.3.8.zip), quindi carica via FTP le cartelle backdrop e whitelist-html sovrascrivendo quelle presenti. Al contrario delle vecchie, le nuove cartelle sembrano infatti non contenere i file necessari per il funzionamento del plugin. Sovrascrivendole farai nuovamente funzionare BackupWordPress ottenendo un “ibrido” tra le versioni 3.8 e 3.9.

Sembra proprio che qualcuno abbia avuto un pelo troppa fretta nel preparare la nuova versione del plugin, il tutto senza accorgersi di nulla e senza dare il giusto peso alle numerose segnalazioni di malfunzionamento già pervenute tra GitHub e forum di supporto WordPress. A questo punto non resta che attendere il rilascio della nuova versione del plugin che correggerà questa anomalia.

12/6/19

Tutto come previsto: è stata da poco rilasciata la versione 3.10 che corregge il bug letale della sfortunata e ben poco duratura 3.9 😉
Puoi tornare ora ad aggiornare il plugin senza strani (ma perfettamente funzionanti) work-around.

BackUpWordPress
BackUpWordPress
Developer: XIBO Ltd
Price: Free
× Le pillole del Dr.Mario

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!
Condividi l'articolo con i tuoi contatti:

Tutto parte da una segnalazione di bug arrivata tramite il mio bug bounty program (openbugbounty.org/reports/809068) e, seppur protetto da alcuni metodi di cui ti ho già parlato in passato, effettivamente il file XML-RPC di WordPress risultava raggiungibile dall’esterno, mostrando potenzialmente il fianco a un qualche attacco poco gradito. Per questo motivo ho voluto aggiungere un ulteriore strato di sicurezza che gli permette di continuare a rimanere disponibile per Jetpack e nulla più. Per farlo mi è bastato mettere mano al file .htaccess del dominio.

WordPress: 5 step per la sua (e tua) sicurezza

La documentazione a cui fare riferimento è quella ufficiale di Jetpack, disponibile all’indirizzo jetpack.com/support/hosting-faq. Nello specifico ciò che a te interessa è quel paragrafo relativo a “Whitelist all communications between WordPress.com and Jetpack“, utile per permettere al tuo sito e al servizio messo a disposizione da WordPress.com di parlare senza incontrare ostacoli, lasciando fuori tutto il resto.

Al solito, prima di cominciare, il consiglio resta sempre lo stesso:

ATTENZIONE: Prima di eseguire qualsiasi modifica ai tuoi file e/o dispositivi sei pregato/a di effettuare un backup di questi (o lavorare in ambiente di test e mai di produzione). Solo così sarai capace di tornare indietro ponendo rimedio a eventuali errori di distrazione.

Una questione di .htaccess

Pronto? Cominciamo. Il trucco è semplice e sta tutto nel file che può limitare l’accesso alle risorse contenute nel tuo sito web. Apri il file .htaccess con un editor di testo degno (Notepad++ o Atom), non toccare nulla che sia stato messo lì dal tuo WordPress o da qualsiasi altro plugin da te utilizzato (penso a iThemes Security o W3 Total Cache e simili), trova uno spazio nuovo da occupare con una porzione di codice che dovrebbe essere quanto più simile a questa proposta di seguito:

<Files xmlrpc.php>
    Order Allow,deny
    Allow from 122.248.245.244
    Allow from 54.217.201.243
    Allow from 54.232.116.4
    Allow from 192.0.64.1/192.0.127.254
    Allow from 192.0.80.0/20
    Allow from 192.0.96.0/20
    Allow from 192.0.112.0/20
    Allow from 195.234.108.0/22
    Deny from all
    Satisfy All
    ErrorDocument 403 https://gioxx.org/403.shtml
</Files>

Io ho inserito il codice subito prima del termine del “paragrafo” modificato da WordPress (per capirci, prima di “# END WordPress“). Una volta terminato il tuo lavoro, salva la modifica e sovrascrivi il file presente sul tuo spazio FTP. Ciò che hai appena fatto consiste nel bloccare ogni possibile comunicazione con il file xmlrpc.php a esclusione degli IP appartenenti a WordPress.com, come una sorta di Firewall che taglia fuori tutti tranne loro. Chiunque proverà a puntare a quel file php sul tuo spazio hosting, si troverà davanti a una pagina di errore (nel mio caso https://gioxx.org/403.shtml, nel tuo ti consiglio di modificarla con qualsiasi altro tipo di indirizzo).

La modifica è immediata e dovrebbe portare beneficio alla tua installazione WordPress – in termini di sicurezza, nda – che non risentirà così alcun problema nell’utilizzo del sempre troppo mastodontico JetPack, in attesa che quest’ultimo si decida a utilizzare un diverso metodo per comunicare con le installazioni del CMS in giro per il mondo.

Al solito: per qualsiasi ulteriore dubbio o informazione l’area commenti è a tua totale disposizione (anche per suggerire metodi alternativi a quello proposto poco sopra).


fonti:
namehero.com/startup/how-to-safely-disable-xmlrpc-in-wordpress-while-keeping-jetpack
jetpack.com/support/hosting-faq
Condividi l'articolo con i tuoi contatti:

Una domanda apparentemente complessa che merita una risposta semplice, per cercare di incontrare quanto più pubblico alle prime armi possibile. Ho risposto in separata sede, mi piace però condividere pubblicamente quella che secondo me può essere una buona scaletta per far muovere i primi passi al tuo nuovo sito web basato su WordPress (a prescindere che si tratti di blog personale o altro tipo di idea). Ti invito a dire la tua nell’area commenti, inserendo nuovi punti esclusi dalla mia personale lista, ma evidentemente non per questo non meritevoli di menzione. Cominciamo?

WordPress: ShortPixel Image Optimizer 8

#1: Creare un account amministrativo diverso

In realtà di questo argomento ne abbiamo già parlato, forse lo ricorderai. Mi cito copiando e incollando un passaggio fondamentale di questo diverso articolo:

Ciò che intendo è, per esempio, non utilizzare l’account amministrativo di default (che va quanto prima degradato a semplice utente, se non addirittura eliminato), in favore di un nuovo account da te appositamente realizzato, amministrativo, con username non facilmente indovinabile e con una password complessa (parleremo anche di password robuste quanto prima, ma ti porto a questa vignetta, che tanto spiega in merito). Non utilizzare la stessa password che hai già usato in passato per altri servizi. Fatti aiutare da un buon password manager se ti serve.

Il consiglio rimane lo stesso identico: elimina quanto prima l’account “admin” creato automaticamente da WordPress, non prima di averne creato uno diverso con gli stessi poteri, il quale dovrà avere username differente, più complesso, così come la password, che dovrà inoltre essere dedicata e non condivisa con altri servizi che sfrutti su internet. Posso comprendere che questa sia per te una scocciatura, ma ringrazierai quel giorno in cui qualcuno scoprirà (per errore altrui) qualche tua coppia di credenziali (ne parlo nell’articolo Firefox Monitor ti avvisa in caso di furto credenziali) e le userà anche per appropriarsi del tuo sito web.

Fondamentale e oggi ormai dato per scontato è il doppio passaggio di autenticazione. In passato ti ho parlato di Authy, ho poi virato verso un diverso metodo di verifica autenticazione, te ne ho parlato nell’articolo WordPress: migrazione da Authy OneTouch a Duo.

#2: Creare gli account aggiuntivi per editor e collaboratori

Che, a voler essere puntigliosi, potrebbero bastare anche alla tua quotidianità. Le operazioni da eseguire tramite l’account amministrativo sono relativamente poche se hai ormai configurato al meglio il tuo sito WordPress, per questo motivo potresti pensare di creare per te un account “Editor” in grado di scrivere, modificare o cancellare qualsivoglia contenuto pubblicato (o in attesa di pubblicazione), lasciando all’amministratore il compito della manutenzione del software, l’installazione di qualche plugin e poco più. Occhio a ciò che permetti ai tuoi collaboratori, i ruoli di WordPress sono pochi e ben spiegati nel documento Roles and Capabilities sul Codex.

Per aggiungerne di nuovi, io ho utilizzato (e utilizzo tutt’oggi) il plugin Members, fantastico per poter creare nuovi ruoli e modificarne i permessi scendendo molto nel dettaglio (puoi permettere o negare singole azioni, la granularità è davvero ottima):

Members
Members
Developer: Justin Tadlock
Price: Free

#3: Occhio al fuso orario

Sembra una banalità ma non lo è, il fuso orario di WordPress (Timezone nelle installazioni in inglese, come la mia) è fondamentale quando programmi la pubblicazione di un articolo, non vorrai mica rischiare di tirare fuori dei pezzi a orari tutt’altro che in accordo con la tua linea editoriale, vero? :-)

SettingsGeneral (Impostazioni → Generali in italiano) nella tua dashboard amministrativa, quindi seleziona Roma (immagino) nel menu a tendina in corrispondenza del fuso orario:

WordPress: muovere i primi passi post-installazione 1

#4: Permetti la Visibilità ai motori di ricerca

Altro parametro che può passare inosservato ma che è fondamentale se vuoi iniziare a macinare qualche visita oltre quelle che sei solito fare tu per amministrare il sito web o scrivere e pubblicare contenuti. All’interno delle Impostazioni di lettura troverai un’opzione relativa alla Visibilità ai motori di ricerca, ciò che permette a Google e soci di indicizzare i tuoi contenuti e renderli fruibili da chi lancia query tramite i siti web più utilizzati al mondo (i motori di ricerca, per l’appunto).

WordPress: muovere i primi passi post-installazione 2

Assicurati che questa non sia impostata per scoraggiare tale comportamento, configurazione che solitamente si usa durante la preparazione del sito web, che va assolutamente modificata quando questo andrà in produzione e farà il suo debutto sul web.

#5: Configura una corretta struttura Permalink

In breve: Un permalink o collegamento permanente è un tipo di URL che si riferisce ad una specifica informazione, implementato in modo da non cambiare o almeno da rimanere lo stesso per lunghi periodi di tempo. Il termine è spesso impiegato nell’ambito dei blog per indicare il link ad un determinato post.

Continua su it.wikipedia.org/wiki/Permalink

È ciò che condurrà il lettore al tuo articolo negli anni, a prescindere da ciò che succederà, dando stabilità ai risultati di un motore di ricerca, rendendolo ben felice di continuare a servirti e portare al tuo porto nuove visite. È una struttura molto importante, critica per certi versi, è giusto deciderla all’avvio di un tuo nuovo progetto, la puoi configurare da ImpostazioniPermalink. Per questo blog ho scelto ormai tanti anni fa quella basata su anno/mese/giorno e nome dell’articolo, se potessi tornare indietro (cosa che comunque puoi pilotare abbastanza agilmente, con tanta pazienza e qualche giusto aiuto) sceglierei quella basata solo sul nome dell’articolo.

WordPress: muovere i primi passi post-installazione 3

#6: I soli Permalink non risolvono tutto, genera una Sitemap

La Sitemap permette a Google di venire a conoscenza di tutti i collegamenti che un lettore può fruire all’interno del tuo nuovo sito web, generarla e darla in pasto al motore di ricerca toglie carico di lavoro a quest’ultimo, il quale -salvo errori- digerirà immediatamente quanto dato in pasto, generando immediatamente visite a tuo favore (ammesso che l’utente stia cercando ciò che tu metti a disposizione). Per farlo puoi farti dare una mano da uno dei tantissimi (pure troppi) plugin disponibili sul repository ufficiale di WordPress. Io, come tanti altri, utilizzo la funzione integrata all’interno di Yoast, quella che trovi all’interno di SEOFeatures → XML Sitemaps:

Yoast SEO
Yoast SEO
Developer: Team Yoast
Price: Free

WordPress: muovere i primi passi post-installazione 4

#7: Hai attivato Google Analytics?

Restiamo sull’argomento statistiche e corretta gestione da parte dei motori di ricerca. Analytics è lo strumento realizzato da Google per tenere d’occhio le proprie “performance” (che detta così suona un po’ come un film di Rocco, ma non è ciò su cui si fonda il pezzo!), per cercare di costruire una strada di costante miglioramento, seguire i gusti dei lettori (senza dimenticarsi però che l’opera è prima di tutto tua, deve piacere a te), sfoderare l’asso quando serve tirarlo fuori dalla manica.

A tal proposito, ThemeTrust aveva pubblicato un articolo molto ricco e ben realizzato (in inglese) che puoi trovare all’indirizzo themetrust.com/google-analytics-in-wordpress (se vuoi proporre un’alternativa altrettanto valida in italiano sei il benvenuto, lascia un commento a fondo articolo!).

#8: Il backup ragazzo, il backup.

Ripeti con me: creerò e manterrò un backup aggiornato del mio sito web, di ogni suo contenuto e del database. Ora continua a ripeterlo, ma nel frattempo metti in piedi una soluzione di backup del tuo WordPress. Ci sono mille metodi validi, io continuo a operare su due piani diversi, facendo più backup al giorno del database MySQL e un backup quotidiano dei file. Te ne ho già parlato qui, ma ti ripropongo lo specifico passaggio:

Avere una copia di backup aggiornata è fondamentale per evitare di incorrere in possibili disastri (causati da te, dal tuo provider o da qualcuno di completamente estraneo).
Per portare a termine questa operazione esistono decine di plugin, sia gratuiti che a pagamento. Io ho scelto di affidarmi a BackUpWordPress della Human Made.

BackUpWordPress

In conclusione

Di punti ce ne potrebbero essere molti altri, ci si ferma qui per convenienza e per non mettere ulteriore carne sul fuoco, ma sei libero di suggerirne di nuovi, per poterli integrare all’interno di questa lista o per giustificare una nuova pubblicazione dedicata, libero sfogo ai tuoi consigli quindi. Resto a disposizione anche per correggere qualche svista o migliorare qualche punto sopra riportato, un po’ come sempre capita :-)

Buon divertimento!


liberamente ispirato a themetrust.com/do-after-launching-a-wordpress-site

Condividi l'articolo con i tuoi contatti:

Qualche giorno fa ti ho parlato di Duo, plugin di sicurezza per WordPress che ho scelto come erede e sostituto di Authy, a seguito della cessazione dello sviluppo di quest’ultimo. Oggi ti propongo qualche nuova riga di testo per raccontarti come modificare il comportamento di Duo affinché non permetta null’altro se non la notifica push e il codice generato randomicamente (offline) per darti la possibilità di superare la fase di autenticazione 2-Step.

Duo Security: modificare i metodi di autenticazione concessi 3

Se la tua password è corretta e approdi alla schermata successiva, Duo permette –tra l’altro– di far partire una chiamata verso il numero di telefono da te associato all’account, dettando il codice di autenticazione a voce. Questo però necessita di crediti telefonici che, volendo usufruire delle funzioni gratuite di Duo, vanno contro il principio stesso di gratuità.

Per aggirare l’ostacolo, accedi alla Dashbord di Duo, quindi naviga in ApplicationsWordPress (dove WordPress in realtà potrebbe corrispondere al nome che tu hai voluto dare alla tua installazione da proteggere) → Policy. Qui, in linea con la voce Application policy, potrai specificare una nuova policy che conterrà una modifica ai metodi di autenticazione, come suggerito nella documentazione ufficiale del prodotto all’indirizzo duo.com/docs/administration-settings#authentication-methods.

Puoi ignorare tutto e andare direttamente alla voce Authentication Methods (paragrafo Authentication), togliendo il segno di spunta dall’opzione Phone callback, come nell’immagine qui di seguito:

Duo Security: modificare i metodi di autenticazione concessi 1

Salvando la nuova policy (alla quale dovrai dare un nome, e io ti consiglio di fare in modo che tu possa capire immediatamente di cosa si tratta!), questa verrà applicata all’applicazione protetta, confermato subito a video se non è stato commesso errore alcuno:

Duo Security: modificare i metodi di autenticazione concessi

La modifica è quindi già operativa e potrai tu stesso verificarla provando a collegarti alla tua installazione WordPress (magari da una sessione anonima del browser, se sei già connesso e autenticato). Noterai che gli unici metodi di conferma dell’identità disponibili saranno la notifica push (Duo Push) e un Passcode generato dall’applicazione di Duo randomicamente, come sempre accaduto con Google Authenticator o Authy:

Duo Security: modificare i metodi di autenticazione concessi 2

A questo punto potrai dimenticarti dei crediti telefonici e goderti l’autenticazione a due fattori gratuita, con la tranquillità del bivio doppio disponibile e che -in qualche maniera- ti permetterà sempre di accedere al tuo blog (o qualsivoglia altra applicazione protetta da Duo).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Da qualche tempo ormai, un paio di referer vengono utilizzati per tentare di verificare se esistono vulnerabilità all’interno dei WordPress in giro per il web (questo che leggi compreso), il che comincia a diventare abbastanza fastidioso. Si tratta ovviamente di movimenti eseguiti da bot che non fanno altro durante l’arco della giornata, ma che continuano a generare righe di log che ovviamente si notano lato server, cose che tu stesso in teoria potresti notare (se hai accesso ai log del tuo hosting), oppure utilizzando plugin come Redirection.

WordPress: bloccare site.ru e baidu.com (spam referer)

Non ho scoperto l’acqua calda certamente, c’è chi se n’è accorto da tempo (dai un’occhiata qui, oppure qui) e chi ha già fatto qualcosa in merito per impedire ulteriori accessi da quel tipo di referer HTTP. Ah già, a tal proposito, dovesse sfuggirti di che diamine sto parlando, propongo:

Il referer (o HTTP referer) è semplicemente l’URL di un elemento che conduce all’elemento corrente: ad esempio, il referer di una pagina HTML può essere un’altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente è venuto a conoscenza di una pagina. Il referer è parte integrante di una request HTTP inviata dal browser al webserver.

continua qui: it.wikipedia.org/wiki/Referer

Detto ciò, quello che puoi fare –nel caso in cui tu sia protagonista della stessa scocciatura– è mettere mano al tuo file .htaccess e prevedere l’esclusione dei referer di cui puoi fare tranquillamente a meno. Io in lista ti propongo anche baidu.com,

Baidu (百度=Bǎidù) è il principale motore di ricerca in lingua cinese in grado di ricercare siti web, file audio e immagini e secondo il sito Netmarketshare.com a novembre 2016 è il 3° motore di ricerca al mondo con un 7,54% di share dopo Bing che deteneva nello stesso periodo l’8,28%.

continua qui: it.wikipedia.org/wiki/Baidu

il quale compare in diverse righe di errore 404 perché tenta strani accessi o inclusioni di file non propriamente standard, motivo per il quale c’è quella ragionevole certezza che si tratti di un ulteriore attacco bot (spero mi perdoneranno gli amici cinesi che intendono utilizzare realmente il loro motore di ricerca preferito per arrivare a qualche mio articolo, ammesso che quegli amici esistano realmente, e che –soprattutto– vogliano leggere un mio articolo!).

Modifica del file .htaccess

Come già saprai, il file .htaccess si trova nella cartella principale del tuo WordPress e viene generalmente gestito da quest’ultimo o dai plugin installati (per esempio, quelli di sicurezza), occhio quindi a dove metti le mani. Apri il file in modifica e individua un “posto tranquillo” in cui depositare il nuovo codice, puoi copiare quanto di seguito e incollarlo subito prima della riga di commento “# END WordPress” che dovresti trovare intorno alla fine del file:

<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{HTTP_REFERER} site\.ru [NC,OR]
 RewriteCond %{HTTP_REFERER} www\.baidu\.com [NC]
 RewriteRule ^.* - [F]
</IfModule>

Salvando il file, dopo poco tempo dovresti già notare molta più pulizia all’interno dei tuoi log (e degli errori 404), con buona pace del tuo WordPress e delle molteplici volte che non sarà più costretto a rispondere negativamente ai tentativi di attacco, dai quali sta bene anche a debita distanza.

In alternativa

Beh, in alternativa si potrebbe passare da un diverso metodo, basato su IP o su regole di Redirection (il plugin di cui ti parlavo a inizio articolo, nda). Per la prima alternativa citata, qualcuno sta già facendo un buon lavoro di raccolta IP dai quali generalmente partono gli attacchi di site.ru, la trovi su GitHub all’indirizzo github.com/rogercomply/siteru-blocklist/blob/master/ipblocklist, e viene continuamente aggiornata (considera che -a ora che sto scrivendo l’articolo- l’ultimo aggiornamento riporta la data di due giorni fa).

Potresti pensare di copiare quegli IP e includerli all’interno della ban list di iThemes Security (altro plugin di cui ti ho parlato in passato), ricordando di tanto in tanto di passare a copiare e incollare la lista aggiornata.

La seconda alternativa passa invece da redirect di tipo 301, consegnando i bot su pagine alle quali chiedere perdono. Ho pensato quindi di rispolverare la vecchia storia del rilancio “stile proxy” verso siti web che possono dare la redenzione, come radiomaria.it.

Inaugurando un nuovo gruppo di filtri di Redirection chiamato “Strunz Interceptor” (poetico, lo so!), ho pensato di prevedere alcuni degli attacchi più classici e ripetitivi, rimbalzandoli verso la home page di Radio Maria. Ho raccolto quei filtri in un file CSV che puoi tranquillamente salvare e importare all’interno del tuo WordPress con Redirection installato. Ho salvato il tutto su Gist, così da poterlo aggiornare agilmente in futuro nel caso ce ne fosse bisogno:

Sentiti assolutamente libero di segnalarne di nuovi all’interno dei commenti di questo articolo o direttamente sotto al file Gist.

Condividi l'articolo con i tuoi contatti: