Locking Down WordPress | Code Poet

The reality is that you can take control of security for your WordPress installations, and while there’s no 100% pure fix or safeguard, taking the right precautions and knowing what to do if things go pear-shaped is priceless when you’re shipping WordPress projects out in the wild.

In Locking Down WordPress, seasoned WordPress pros Rachel Baker, Brad Williams, and John Ford take you through everything you need to know to make sure you have WordPress security under control.

via Locking Down WordPress | Code Poet.

Go read it!

SecurePass & WordPress

Volendo proteggere l’accesso degli utenti a un altro blog ho deciso di provare a utilizzare secure-pass: la possibilità di avere un sistema di one tipe password (otp) gratis e robusto mi piace. Andato a vuoto il primo tentativo, in quanto il funzionamento con wpCas è stato in qualche modo compromesso dalla versione 3.3.1 di WordPress, ho provato a mettere insieme una pezza senza troppo successo. E’ stato a questo punto che Giuseppe “Gippa” Paternò mi ha fatto notare come il lavoro lo avesse già fatto lui e quindi avrei potuto utilizzare la versione 0.1 di un plugin ad hoc, zero-unon? significa che mi sarebbe toccato modificare a mano un file!

A questo punto ho preso il coraggio a due mani: mi sono registrato su secure-pass.net, ho scaricato il token software e provato che funzionasse come atteso. Funziona come un orologio svizzero. Ho scelto secure-pass perchè mi da 5 account gratuiti per un tempo inverecondo (20 anni!), ed offre un’implementazione semplice e lineare.

Una volta effettuata la registrazione ci si collega all’interfaccia di amministrazione e si crea un nuovo device, ovvero un client RADIUS. Basta inserie l’IP pubblico del server che ospita il wordpress di turno, il nome del dominio ed il c.d. shared secret (che scegliete arbitrariamente).

L’unico problema che si potrebbe incontrare in questa fase è che il server che ospita wordpress non possa contattare il servizio di secure-pass sulla porta di default per le richieste di autenticazione RADIUS: 1812/udp. A me non è successo: quasi tutti gli hosting permettono le richieste in uscita senza troppi controlli.

A questo punto abbiamo predisposto tutto dal lato securepass e dobbiamo procedere con wordpress:

1) installate il plugin (il modo più semplice è di cercare securepass e richiederne l’installazione)

2) modificate il file securepass.php in modo che la variabile $radius_secret corrisponda allo shared secret che avete impostato su securepass (la riga in questione è immediatamente visibile e facilmente identificabile grazie ai commenti nel codice)

3) create un utente in wordpress che abbia lo stesso nome utilizzato in securepass e rendetelo amministratore (ricordato che il dominio di default per il vostro utente è quello definito in secure-pass, quindi non necessariamente dovete passare per un utente nella forma user@dominio)

4) attivate il plugin ed effettuate il login

Se qualcosa non funziona la cosa più semplice è spostare la directory che contiene il plugin altrove, in modo da disabilitare di conseguenza il plugin e poter accedere con le credenziali controllate localmente.

Potete trovare il sorgente del plugin su https://github.com/gpaterno/wp-securepass oppure su wordpress.org http://wordpress.org/extend/plugins/wordpress-plugin-for-securepass/.

Un firewall per wordpress?

Gianni “guelfoweb” Amato ha fatto una bella cosa: un plugin che protegge WordPress da attacchi che possono avere esiti disastrosi.

Descritto come

WP WAF è un plugin per WordPress (leggero e per nulla invasivo) il cui scopo è quello di bloccare ed eventualmente notificare alla propria casella di posta i dettagli dell’attacco alla piattaforma

lo sto provando da qualche giorno e mi pare davvero un lavoro notevole. Oltretutto evolve rapidamente.

Tenete d’occhio il suo blog (ne vale comunque la pena!) ed installatelo appena disponibile al pubblico.