Post Taggati ‘wordpress’

Google Ti O-D-I-O

Google e la sua mania di indicizzare tutto, specialmente quello che non dovrebbe, ha fatto di nuovo danni, motivo per cui temporaneamente sono stata costretta a correre ai ripari chiudendo il blog e cercando di rimediare a una mia svista, cancellando/rimuovendo il link incriminato [più cache] su google.

Non si può mai stare totalmente tranquill* sul web [come scrissi in un precedente post -_-”’], infatti per un po’ credo che sospenderò l’indicizzazione del sito, o forse la setterò manualmente per ciascun post, giusto per evitare sviste future.

Intanto ho provato ad installare il plug in “Zilla likes” [per mettere “mi piace” al post] che mi era stato consigliato tempo fa, al posto del precedente “LikeBtn“, che oltre a non essere personalizzabile, non permetteva neppure di togliere la condivisione con i social [per me attualmente evitabile], mentre quest’ultimo è basico, modificabile e funziona anche nella zona “loop”, con l’unica pecca di non poter togliere l’apprezzamento dato, ma queste sono puntigliezze, per cui direi che è comunque perfetto e consigliabile rispetto a molti altri.
Francamente solo ultimamente ho iniziato ad apprezzare questa “modalità rapida d’espressione“, grazie a Facebook tra l’altro, un po’ come tutti, visto che la maggior parte della volte non ho proprio alcuna voglia di lasciare un commento.. e spesso è meglio così.

Brute force

Sapevo che prima o poi sarebbe successo, anche se ammetto di non essermi mai informata per quanto riguarda i possibili attacchi che possono essere fatti via web ai siti in generale e a quelli su base WordPress, almeno non fino a 4 giorni fa, quando è iniziato l’attacco a un sito che gestisco.
Quello che mi ha stupida – e che continua a stupirmi – è l’insistenza, visto che tempo fa anche questo mini-sito aveva avuto un attacco simile, ma era durato appena un pomeriggio, tanto che io me ne ero accorta praticamente al termine, invece in questo caso l’attacco persiste e purtroppo sto iniziando a sospettare che non si tratti per niente di un caso.

Partiamo dall’inizio: cos’è un “brute force”?

Brute force è un attacco massiccio che viene realizzato verso un qualsiasi sistema con lo scopo di scoprirne la password d’accesso. Nell’attuale caso specifico, si tratta di un attacco che viene effettuato da tantissimi IP differenti [ne sono stati stimati 90.000] verso un sito con base WordPress, prendendo di mira la pagina wp-login.php, con lo scopo di trovare la password [partendo dall’user “admin”, da non usare mai] o di rallentare/buttare giù il server a causa del sovraccarico.
In questo caso il “rischio più grande” è dato da talune aziende di hosting, che quando realizzano che un sito ospitato sulla loro piattaforma è sotto un attacco massiccio, bruciando loro troppe risorse, decidono molto semplicemente di risolvere il problema alla base, sospendendo il servizio e cancellando quindi il sito attaccato senza troppi complimenti.
 

C’è un rimedio?

Bella domanda. In questi giorni ho messo sottosopra tutto il web, trovando vari plug-in e varie pseudo-soluzioni, ma fondamentalmente sono tutti dei rimedi temporanei, che generalmente funzionano con attacchi meno forti e quando gli IP usati sono pochi e ripetuti. Quindi l’unica cosa realizzabile è quella di fare un backup completo [di WordPress e del Database] e di tentare di blindare il più possibile il sito, cercando eventuali backdoor, usando password forti, cancellando l’user “admin”, diminuendo i permessi ai file, come .htaccess, usando vari plug-in consigliati un po’ ovunque e che effettivamente fanno il loro notevole lavoro, anche se chi usa Aruba purtroppo deve sempre prestare molta attenzione, perché – per motivi meramente suoi – non accetta tutte le modifiche effettuate per la sicurezza sul file .htaccess [es. l’opzione no index] e non accetta neppure l’eccessiva restrizione dei permessi su file e cartelle, pena: il K.O. del sito web, con il classico “Errore HTTP 500 Internal server error” [stesso errore che si presenta quando si aggiorna semplicemente WordPress, sempre a causa della modifica dei permessi], motivo per cui è altamente consigliabile fare sempre una copia del file .htaccess prima di procedere con modifiche o con l’attivazione di tali plug-in, in modo tale da portelo sostituire nel caso in cui il sito vada in crash.
 

E poi?

Poi bisogna semplicemente aspettare che l’attacco cessi, sperando che il server resista e che il servizio di Hosting non crei problemi.
 

Quali sono i Plug-in consigliati?

Riporto quelli che ho provato direttamente, tra cui quello che sembra effettivamente “funzionare” nel mio caso, anche se ovviamente non ferma l’attacco, però blocca le richieste d’accesso prima che vengano realmente effettuate e credo che questo aiuti a limitare i “danni”, mentre gli altri plug-in bloccano le richieste d’accesso solo dopo che sono state inviate, riconoscendole come lesive, ma il server ne risente comunque [mia opinione personale, magari sbaglio, ma gli accessi invasivi con il plug-in in questione non vengono proprio più registrati dagli altri programmi, vengo visti solo gli accessi regolari, anche se errati].

BruteProtect: il plug-in sopra menzionato, il suo unico scopo è quello di “bloccare” gli attacchi Brute Force, sia da parte di IP unici, sia da parte di IP multipli e – almeno per ora – posso dire che sta facendo il suo degno lavoro. È molto basico, motivo per cui non ha un menu complesso e le selezioni da compilare sono 3: l’inserimento dell’indirizzo e-mail per ricevere la chiave di attivazione del plug-in, la sezione dove inserire la chiave numerica ricevuta e la scelta su chi può vedere – nella Bacheca – la finestrella informativa in cui viene semplicemente mostrato il numero degli attacchi bloccati.

Better WP-Security: un plug-in completo, il cui scopo è la protezione totale e in svariati modi del sito web, in pratica lo “blinda”, intervenendo anche sui permessi dei file [.htaccess incluso], nascondendo le pagine wp-admin.php, wp-login.php e wp-register, modificando i nominativo dei file nel database [prestare massima attenzione!], limitando il n. dei tentativi d’accesso, tenendo contosia  dei dell’IP, sia dell’user inserito, più molte altre cose. Lo consiglio? Sì, ma nel mio caso non è bastato, o meglio, bloccava tutti i tentativi – anche perché errati – riconoscendoli come lesivi, però dopo che venivano realizzati, infatti venivano tutti registrati sul file log e cosa più fastidiosa nessun IP veniva mai bannato [perché sempre differenti] e neppure l’username [il motivo non lo so].

Limit Login Attempts: come da titolo, limita i tentativi d’accesso, togliendo inoltre il messaggio d’errore di wordpress, che indica se si è sbagliata la password o il nome utente, fornendo quindi delle indicazioni importanti ai malintenzionati. È un buon plug-in, ma nel mio caso se impostavo 3 tentativi, in realtà ne concedeva solo 2. Attualmente lo uso ancora, ma solo per togliere il messaggio di wordpress.

Stop Spammer: non è molto intuibile, perché tutto in inglese, ma io lo considero molto utile per impedire le registrazioni, i commenti e gli accessi a scopo di SPAM, inoltre ha un ottimo resoconto registrando tutti gli IP che tentato svariate operazioni. Ha anche l’opzione per bannare in automatico gli IP che tentano di accedere al sito tramite l’username “admin”, però me ne sono accorta solo dopo aver attivato “BruteProtect”, quindi non so se funzioni realmente o meno.

Wordfence Securit: è un buon plug-in per la sicurezza del sito – io l’ho tolto solo perché ne ho veramente troppi e temevo un conflitto – che include il firewall, la scansione virus [questo non l’ho notato], le statistiche del traffico sul sito, l’avviso e il controllo per i file modificati, etc.

Questi non li ho provati, ma dai commenti sembrano altrettanto buoni: BulletProof Security, All In One WP Security & Firewall.
 

Sono possibili altre protezioni specifiche?

Sì, manuali però, tra cui la più gettonata: applicare una password direttamente sul server per poter accedere alla pagina wp-login.php. Io non l’ho fatto, ci ho provato, ma con Aruba purtroppo mi sono imbattuta nei soliti problemi e dopo che neppure l’Assistenza mi ha fornito soluzioni adeguate, mi sono temporaneamente arresa, tornando ai plug-in. Sui seguenti siti comunque è possibile trovare varie procedure, spiegate passo passo: qui, qui, qui.

È inoltre possibile apportare svariate piccole accortezze, oltre che controllare la sicurezza di tutti i file e plug-in aggiunti sul sito, dato che talvolta al loro interno si possono annidare dei “file spia”, delle backdoor, che aprono un accesso a terzi.

In rete sembrano essere disponibili dei plug-in e dei siti “scanner” per controllare la sicurezza dei singoli siti e l’eventuale presenza al loro interno di virus, backdoor, etc. Non so se siano realmente attendibili, però provare non costa nulla: Plug-in WordPress:

Anti-Malware (Get Off Malicious Scripts): sembra un buon plug-in, che scannerizza tutto il sito alla ricerca di bug, backdoor, malware, etc, segnalando i file potenzialmente infettabili e intervenendo direttamente risolvendo i problemi di sicurezza rilevati. Su questo sito mi ha segnalato un grave errore di protezione riconosciuto di un file php, risolvendolo e mettendo in sicurezza anche il file wp-login.php [come, non lo ancora..].

Sucuri Security – SiteCheck Malware Scanner: è un altro “plug-in” scanner, che segnala inoltre gli aggiornamenti da eseguire per proteggere il sito e con l’aggiunta del “Sucuri CloudProxy Web Firewall (WAF)” si dovrebbe completare la protezione, anche se attualmente non so ancora se rimuove i problemi riscontrati o si limita a segnalarli.

Siti (fonte: blog.keliweb.it):

sitecheck.sucuri.net: è un’utility molto valida per rilevare, ad esempio (ma non solo), i temi di WordPress corrotti o potenzialmente pericolosi. Se scaricate uno di quelli gratuiti dai repository non ufficiali, ad esempio, potrebbe capitarne qualcuno che presenta bug di sicurezza o addirittura codice malevolo che potrebbe infettare le macchine dei vostri visitatori. Aiuta a rilevare siti in blacklist, malware generico, download forzati, iframe o javascript malevolo, spam, potenziali rischi per Internet Explorer e via dicendo

siteinspector.comodo.com: è un’utility per rilevare e comprendere la natura di eventuali malware presenti nel vostro sito web.

urlvoid.com: serve specificatamente a rilevare i casi in cui il vostro sito sia presente in qualche eventuale blacklist, il che significa che ad esempio potrebbe star diffondendo un virus in rete a vostra insaputa.

scanurl.net: rileva se il sito venga utilizzato a scopo di phishing, se esista una reputazione positiva calcolata dal WEB of Trust e se siano presenti script sospetti.

onlinelinkscan.com: verifica se il sito venga rilevato correttamente da Google e la presenza di eventuali problemi di sicurezza.

Volendo poi esistono anche dei siti/programmi “barriera”, come ModSecurity, Incapsula e CloudFlare, che filtrano il traffico e tutte le attività del sito web, in modo tale da bloccare loro ogni possibile problema e attacco. Purtroppo però nella maggior parte dei casi sono servizi a pagamento o – se gratis – non facilissimi da usare.
Non li ho mai usati, anzi, li ho appena trovati, quindi non posso dare un’opinione personale in merito, però suggerisco la lettura di questo articolo, che sicuramente è più chiaro e fornisce maggiori informazioni.

WordPress: problemi, soluzioni e consigli

In questi giorni mi sono dedicata maggiormente a wordpress e alla sue “potenzialità”, per creare al meglio il famoso sito.

Alla fine si è dimostrato essere un lavoro inutile [vista l'impossibilità di pubblicarlo], ma se non altro ho scoperto delle piccole cose utili, che ho deciso di condividere, perché purtroppo i problemi e i bug sono sempre dietro l’angolo [e mi hanno fatto faticare parecchio].

Iniziamo dalla possibilità di creare una Pagina, in cui è possibile pubblicare post di un’unica categoria, tipo news, o quant’altro.
In effetti è tutto molto semplice, basta copiare il file page.php, modificarlo a proprio piacimento, personalizzando ovviamente il nome iniziale [] — per poterlo ritrovare successivamente nella sezione “Pagine -> Aggiungi nuova -> Template” — e aggiungendo poi prima di:

< ?php if (have_posts()) : while (have_posts()) : the_post(); ? >

la stringa:

< ?php query_posts( array('cat' => 4, 'paged' => get_query_var('paged') ) ); ? >

in cui “4” è l’ID della categoria che si vuole visualizzate, trovabile andando in “Categorie” e posizionando il puntatore sulla categoria desiderata, così facendo, in basso allo schermo dove appaiono i percorsi dei link, è possibile vedere un link appunto, in cui nella parte finale è compreso proprio l’ID della categoria.
Se volete una descrizione più dettagliata sul COME creare l’apposita pagina, fate un salto qui:

Per aggiungere più categorie visibili, è sufficiente modificare la stringa soprastante, sostituendo:

'cat' => 4, con: 'cat' => ('3, 4, 11'),

Mentre per nascondere una categoria, o più, basta aggiungere il “” davanti ai numeri ID, es: -3, -4, -11.

In giro per la rete ci sono tante altre stringhe, però molte di esse funzionano correttamente solo sulla pagina index.php predisposta ai post, e non sulle pagine, dato che in quest’ultime causano un problema nell’impaginazione, impedendo di cambiare pagina e riproponendo sempre la stessa, all’infinito.
La stringa qui proposta risolve proprio questo problema, ma se dovessero riscontrarsi ugualmente dei malfunzionamenti, su questo sito, è possibile trovare altre stringhe/soluzioni.

Un altro problema in cui ci si può imbattere, sempre nelle Pagine, è l’impossibilità di visualizzare — nell’elenco dei post — il comando “– – more – –“, per dividere il post in due parti, una leggibile subito, l’altra leggibile solo nella pagina singola, dopo aver premuto su “continua a leggere” o simili.

Bene, anche questo problema è facilmente risolvibile con un’altra semplice stringa, da aggiungere sopra a quella riportata precedentemente, ed è:

< ?php $more = 0; ? >

Parlando di impaginazione, ho un consiglio da dare — dopo essersi accertati di aver applicato le corrette stringe sopra riportate — ed è l’uso del PlugIn PageNavi, che permette di sostituire la semplice navigazione di wordpress: “post vecchi” e “post nuovi“, con una navigazione basata sulla numerazione, tra l’altro anche modificabile, proprio come si può vedere in basso a questo blog [ovviamente non presente nella visualizzazione del singolo post]

Un’ultima cosa: i campi personalizzati, ebbene sì, alla fine ho capito come usarli senza problemi, o scritte non volute [cosa che mi succedeva con le istruzioni del sito di WordPress], in effetti seguendo queste istruzioni, diventa facilissimo usarli, aggiungendo questa semplice stringa nel codice della pagina:

< ?php $variabile = get_post_meta($post->ID, 'Nome', true); ? >

e mettendo nel posto in cui si vuole fare apparire l’aggiunta variabile inserita nel campo personalizzato, con la formattazione più adeguata.
Ovviamente la dicitura “variabile” è modificabile, ma deve essere uguale per entrambe le stringe per farle funzionare, creandone di nuove, con altre diciture, per usare contemporaneamente più campi aggiuntivi. Es:

< ?php $immagine1 = get_post_meta($post->ID, 'Nome1', true); ? >
< img src="< ?php echo $immagine1; ?>" width="100" height="100"
 title="< ?php the_title(); ?>" alt="< ?php the_title(); ?>" / >
< ?php $immagine2 = get_post_meta($post->ID, 'Nome2', true); ?> 
< ?php echo $immagine2; ?>

Utile no? :)

Cambiamenti

Sono strani i cambiamenti,.. o li cerchi, o li eviti, ma quando arrivano l’effetto è sempre lo stesso: confusione e tanta curiosità.

Questo è successo anche in questo caso, in forma molto limitata, visto che un blog resta pur sempre solo un blog e un cambio di piattaforma non è tutta questa grande esperienza, specialmente perché avevo già fatto un procedimento molto simile anni fa, quindi anche la novità era molto relativa, però il cambiamento c’è stato ugualmente ed è palese, qui infatti non c’è più una community di base.. e la grafica d’ingresso, in amministrazione, è molto scarna, un po’ spenta direi, ma almeno non vedo più banner pubblicitari saltellare ovunque, il che mi fa pensare che probabilmente avrei potuto fare molto prima questa scelta, ma in fondo IoBloggo mi piaceva e ci stavo bene, sebbene peccasse un po’ sia nella gestione [per i motivi già risaputi], sia nella community, lato che alla fine mi aveva spinta a non andare più alla ricerca di nuovi blog — cosa che mi è sempre piaciuta fare — visto che mi imbattevo regolarmente o in blog privati o in blog di dubbio gusto, che spaziavano tra “uomini e donne”, “amici”, programmi d’intrattenimento di vario tipo e sport, che poi.. non c’è nulla di male in questo, diciamo così, sono gusti appunto, però era indubbiamente palese che l’età media fosse drasticamente al di sotto della mia, cosa che talvolta mi aveva causato anche mooolte perplessità [il motivo non lo sto a spiegare, perché potrei essere letta come offensiva].

Quindi eccomi qui a “partire da zero”, in un luogo dove ci sono solo io, cosa che sinceramente mette anche una certa angoscia, visto che sembra esserci un isolamento quasi totale, però non si può avere tutto dalla vita, no? e poi ho sempre scritto che questo blog lo tenevo prevalentemente per me e in parte anche per le persone a me vicine, che hanno avuto modo di leggermi o che lo avranno in futuro, per cui tutto sommato credo proprio che questa sia la soluzione migliore sotto ogni punto di vista.

Tengo a precisare una cosa però, è vero che negli anni la figura della “blogstar” si è un po’ assopita e che non viene più abbinata automaticamente a un blog WordPress, a un hosting e/o a un dominio personale, però voglio precisarlo ugualmente: io non sono, non mi sento e non voglio rientrare assolutamente in quella categoria, ne ora, ne mai. Questo è solo un blog “vecchio stampo”: meramente personale e oggettivamente poco interessante per chi segue blog di informazione, fashion, ironici, a tema, o quant’altro, chi mi segue lo sa, io non miro a scrivere un libro, quindi non mi importa ne di essere interessante, ne di essere brillante, ne di essere alla moda e neppure di farmi linkare/seguire da ogni sito/persona esistente sul web.

Precisazione superflua per chi mi legge già da un po’,  lo so, ma usare WordPress mi mette sempre una certa agitazione, forse per via della mia passata esperienza, in cui alla fine si era insinuata un po’ di ansia da prestazione, che non solo mi aveva bloccata, ma mi aveva fatta tornare addirittura su Splinder.