Bloccare l’accesso al file wp-login.php

È da molti mesi che riscontro tentativi continui di accesso non autorizzato alla dashboard di WordPress: qualcuno/qualcosa tenta senza sosta di indovinare il nome utente dell’amministratore e della sua password. Me ne accorgo dalle segnalazioni che mi arrivano tramite il plugin Limit login attempts.

Il plugin, che pare non essere più mantenuto (e per questo motivo cerco un’alternativa), fa bene il suo lavoro ma, nonostante ciò, non è bello per me ricevere tutte quelle email giornaliere da parte sua. Per cui ho deciso di risolvere alla base il problema.

Leggi tutto “Bloccare l’accesso al file wp-login.php”

htaccess made easy

Chiunque abbia un blog o un sito qualsiasi su un proprio dominio avrà avuto forse a che fare con il famigerato file .htaccess o quantomeno ne avrà sentito parlare. Questo file, di cui anche in questo blog qua è là si è parlato, è quello che permette di modificare la configurazione del proprio server a livello di singole directory. È talmente potente da permetterci tantissime operazioni sulle funzionalità di Apache e tutti possono trarre beneficio da semplici modifiche su un file di testo. Certamente è bene sapere cosa si sta facendo perché un solo carattere sbagliato potrebbe mandare in errore un intero dominio. Le pubblicazioni in merito non mancano, ma ve ne voglio segnalare una in particolare.

Leggi tutto “htaccess made easy”

Dropbox e l’autenticazione multifattoriale

Anche su Dropbox è disponibile la 2-step verification, che aggiunge un livello di sicurezza al nostro account.

La schermata di attivazione del servizio "Two-step verification"

Come già presente per Google e LastPass, anche Dropbox ha attivato l’autenticazione multifattoriale, anche se per ora in via sperimentale ma accessibile a chiunque voglia implementarla. Si tratta in sostanza di inserire — oltre la password — anche un’ulteriore piccola serie numerica di sei cifre, generata da un’applicazione installata sullo smartphone o inviata da Dropbox stessa al proprio telefonino tramite SMS. Io, ovviamente, ho attivato il servizio e vi dico che funziona, comprese le applicazioni del mio PlayBook che usano Dropbox.

Leggi tutto “Dropbox e l’autenticazione multifattoriale”

Google Authenticator per WordPress

Anche per WordPress è disponibile Google Authenticator, il comodo sistema di Google per l’autenticazione multifattoriale su sistemi informatici.

Non starò qui a ripetere quanto ho già scritto sull’autenticazione multifattoriale come metodo abbastanza sicuro per accedere a un sistema informatico: ne ho già parlato sia in Password OTP (usa e getta) per WordPress che in Autenticazione multifattoriale con Perfect Paper Passwords.

Segnalo, invece, un plugin per WordPress ancora più comodo da usare: Google Authenticator. È stato creato dal buon Henrik Schack (autore di Perfect Paper Passwords) e vi consiglio di provarlo.

Google Authenticator (intendo il progetto di bigG) è un’applicazione per dispositivi mobili che genera costantemente codici numerici da usare come secondo mezzo di verifica durante l’autenticazione su un sistema. L’applicazione di Google è disponibile per dispositivi BlackBerry, Android e iOS. Se lo usate per accedere al vostro account su Google, sapete bene di cosa si tratta. Ecco, il plugin di Henrik porta questo meccanismo all’interno di WordPress:

Il plugin, dopo l’attivazione, richiede che ciascun utente attivi la funzionalità dal proprio profilo. Una volta attivata, vi sarà dato il codice da inserire nello smartphone.

Se accedete alla vostra installazione usando l’applicazione di WordPress per tablet, sarà necessario attivare l’opzione del plugin Enable App password: usate quindi questa password nell’applicazione del tablet.

TrueCrypt insicuro? Ad oggi ancora no

Tra gli avvisi di Google Alert che ricevo settimanalmente ce n’è uno dedicato a TrueCrypt. Nell’email di oggi c’era un titolo davvero interessante: “Disco Cifrato? Recupero password garantito”. TrueCrypt, che appunto serve a cifrare interi dispositivi o a creare porzioni di disco cifrate, sembrerebbe essere arrivato al suo capolinea. L’articolo di Punto informatico mi ha dato a questa impressione: leggendolo sembra che non ci sia niente da fare e ottenere la passphrase di un disco cifrato con un programma di casa Passware parrebbe un gioco da ragazzi.

Se però si dà una lettura alla pagina dedicata a TrueCrypt di Passware Kit Forensic (il “super programma” che «decrypts TrueCrypt and FileVault volumes in minutes», sic!), ci si accorge dove sta la sua forza: o nell’impreparazione di chi usa TrueCrypt (e qui si può intervenire solo chiedendo/obbligando gli utenti a leggere i manuali) o in fattori esterni a TrueCrypt (crash del sistema operativo, riavvio forzato, spegnimento non corretto del PC). Infatti la pagina di Passware Kit Forensic dice esattamente:

NOTE: If the target computer is turned off and the TrueCrypt/BitLocker volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assigns Brute-force attacks to recover the original password for the volume.

Smontare, quindi, correttamente un disco cifrato, quando non lo si usa, porta l’utilità di quel software prossima allo zero. E in ogni caso, vanno sempre lette e comprese le istruzioni all’uso, nella consapevolezza che anche un buon software come TrueCrypt ha i suoi limiti.

Offuscare le email: lo shortcode per WordPress

Proteggere gli indirizzi email in WordPress offuscandoli agli spambot tramite l’uso di shortcode.

WordPress ha una funzione poco nota, messa alcuni giorni fa in evidenza da WP Recipes e poi ripresa da Panese. La funzione si chiama antispambot e serve ad offuscare gli indirizzi email ai crawler finalizzati allo spam.

Vorrei spendere, però, qualche parola in più sul suo funzionamento.
Leggi tutto “Offuscare le email: lo shortcode per WordPress”

Bloccare nomi di dominio via file hosts

Come bloccare un nome di dominio usando il file hosts.

Una delle esigenze di cui si può aver bisogno nella nostra esperienza di navigatori sul Web è quella relativa al blocco di un nome di dominio o alla sua deviazione verso un altro. I motivi di ciò possono essere diversi, ma probabilmente il principale riguarderà la sicurezza.

Effettuare questa operazione non richiede particolari capacità e possiamo scegliere se bloccare tout-court un nome di dominio (per “nome di dominio” si intende un indirizzo web del tipo facebook.com) o deviarlo verso un altro (ad esempio, deviare la richiesta del dominio facebook.com verso google.it). Vediamo come si fa.

Noi sappiamo che il sistema, per accedere a un indirizzo Internet, interroga uno dei server (detti server DNS) equipaggiato con un database per la conversione del nome di dominio alfanumerico a indirizzo IP. Questi server, quindi, forniscono al sistema che lo richiede l’indirizzo IP del dominio che si vuole raggiungere. Ma prima di interrogare il server DNS il sistema guarderà in un file presente nel sistema operativo in uso per vedere se già lì è presente la regola per la conversione da indirizzo alfanumerico a indirizzo IP. Noi quindi interverremo in questo file per bloccare un determinato dominio.

Leggi tutto “Bloccare nomi di dominio via file hosts”

Autenticazione multifattoriale con Perfect Paper Passwords

Come impostare un sistema OTP (One Time Password) su WordPress in maniera semplice e veloce col plugin Perfect Paper Passwords.

Qualche mese fa ho scritto un post sul plugin One-Time Password che ha lo scopo di rendere più sicura l’autenticazione nella propria area amministrativa di WordPress mediante l’uso dell’omonima tecnica detta One-Time Password. In breve, con questo sistema possiamo autenticarci alla Bacheca di WordPress usando una password usa-e-getta che può sostituire la password di WordPress (ottimo in caso di utilizzo in un Internet Cafè) o aggiungersi ad essa.

Oltre a questo plugin, ne esiste un altro che fa qualcosa di molto simile: Perfect Paper Passwords. Con esso avrete a disposizione una password usa-e-getta che si aggiunge (e non si sostituisce) a quella di WordPress.

Autenticazione forte

Sappiamo che per autenticarsi a un sistema informatico con ragionevole sicurezza è buona cosa utilizzare un’autenticazione a due fattori:

  • qualcosa che si sa (username e password)
  • qualcosa che si ha (un oggetto, che può essere un token, una smartcard, una chiavetta USB, la SIM del telefono, la biometria o anche un semplice taccuino con password usa-e-getta.

Questo è anche il sistema usato da molte banche per i loro servizi online. In questo modo, anche se un malintenzionato dovesse entrare in possesso delle vostre credenziali, non potrebbe accedere al sistema perché non ha il secondo fattore di autenticazione, il quale appunto cambia continuamente.

Questo plugin vi dà la possibilità di implementare in WordPress il sistema OTP in modo facile e gratuito.
Leggi tutto “Autenticazione multifattoriale con Perfect Paper Passwords”