In questo articolo mostreremo come nascondere alcune informazioni che vengono fornite a causa delle configurazioni base dei vari software normalmente utilizzati per un sito web. Queste informazioni possono essere enumerate da un possibile aggressore per attuare un attacco informatico. Leggi tutto “Nascondere le informazioni sensibili dei siti web”
Categoria: Websites
Migrazione script da php7.0 a php7.3
Durante la migrazione a php7.3 alcuni script installati potrebbero smettere di funzionare a causa di una non totale retro compatibilità di alcune funzioni. Leggi tutto “Migrazione script da php7.0 a php7.3”
Repository Git server
Installiamo un repository git su un server locale con accesso ssh ed http su un server in una intranet per condividere i progetti tra sviluppatori. Abbiamo bisogno di un server con ssh configurato, su cui installeremo git ed apache2. Il server è identificato sulla rete con il nome git-projects. Leggi tutto “Repository Git server”
Incrementare le prestazioni di Apache con modpagespeed
In questo articolo vediamo come attivare un modulo in apache che permette di elaborare i documenti del sito come file html, css, js ecc in modo da velocizzarne l’invio sfruttando anche un meccanismo di caching. Come sistema di riferimenti usiamo un server debian stretch su cui gira il web server apache, ma tutto è facilmente configurabile anche sotto altri sistemi quali Ubuntu, CentOS e sotto Nginx Leggi tutto “Incrementare le prestazioni di Apache con modpagespeed”
Certbot dns plugin rfc2136
Nell articolo “Certificati https gratuiti con Let’s Encrypt” è stato mostrato come generare certificati https per i propri domini web utilizzando certbot e la CA di Let’s encrypt.
Il core di certbot permette di generare certificati per i domini serviti dal server in cui viene eseguito, ma con alcuni plugin è possibile generare certificati per ogni dominio di cui si amministra il dns, il certificato però dovrà poi essere istallato manualmente.
Ci sono vari plugin da utilizzare, a seconda del proprio provider dns, in questo articolo ci interfacciamo con il nostro server bind tramite certbot-dns-rfc2136
Per verificare l’identità di chi gestisce il dominio, il plugin cerca il record TXT nella zona dns con chiave _acme-challenge ed un certo valore fornito dal bot in fase di generazione. Questo record può essere inserito manualmente al momento della richiesta, ma quello che viene mostrato in questo articolo è la modalità di automatizzazione di questo processo.
Genereremo una chiave TSIG che installeremo in BIND e forniremo al plugin di certbot l’autorizzazione di inserire record nella zona dns del nostro dominio Leggi tutto “Certbot dns plugin rfc2136”
Certificati HTTPS gratuiti con Let’s Encrypt
Questo tutorial mostra come installare certificati https gratuiti per i propri domini web. E’ rivolto ai webmaster che hanno accesso alla console linux del proprio server con diritti amministrativi. I comandi elencati si riferiscono ad una distribuzione debian like, quindi debian, ubuntu ecc… anche se con distribuzioni diverse le cose sono praticamente identiche. Il server web è apache2 Leggi tutto “Certificati HTTPS gratuiti con Let’s Encrypt”
Proteggere login WordPress con zip bomb
Questo articolo presuppone che si stia lavorando su un tema child di WordPress in modo da non alterare file di sistema.
Per la creazione di un tema child, si può fare riferimento a questo articolo:
Personalizzare i temi di WordPress
Descrizione
Con questo metodo bloccheremo i tentativi di login dei bot alla nostra pagina di login, sfruttando la capacità dei browser di lavorare con contenuti mime gzip
Quello che faremo è creare un file di 10 Giga Byte che comprimeremo con gzip portandolo ad una dimensione più contenuta di 10 Mega Byte.
Utilizzando l’ hook di WordPress wp_login_failed invieremo questo file al browser che lo unzipperà in memoria esaurendo velocemente la ram, specialmente se i tentativi di accesso avvengono parallelamente con diverse connessioni. Leggi tutto “Proteggere login WordPress con zip bomb”
Aggiungere GoogleAnalytics e GoogleAdsense a WordPress
Questo articolo presuppone che si stia lavorando su un tema child di WordPress in modo da non alterare file di sistema.
Per la creazione di un tema child, si può fare riferimento a questo articolo:
Personalizzare i temi di WordPress
Il codice verrà inserito all’interno della sezione HEADER della pagina grazie alle API php che WordPress mette a disposizione, modificando uno dei parametri è possibile includere il codice in qualunque punto della pagina. Leggi tutto “Aggiungere GoogleAnalytics e GoogleAdsense a WordPress”
Personalizzare i temi di WordPress
I temi di wordpress sono fatti in modo da essere personalizzati attraverso la creazione di un tema figlio.
Questo eredita tutti gli aspetti e tutte le funzionalità del genitore, ma ogni file inserito nella sua cartella ha la priorità sul genitore che viene così offuscato.
In questo modo è possibile intervenire sui fogli di stile e sul codice php senza danneggiare il genitore che può sempre essere aggiurnato senza perdere le modifiche che sono state introdotte.
Vediamo quali sono i passaggi per la creazione e l’installazione di un tema figlio, chiamato più propriamente child. Leggi tutto “Personalizzare i temi di WordPress”
Installazione di WordPress
Questo articolo elenca i passaggi necessari all’installazione completa di un sito WordPress, da ora in poi abbreviato con WP, su una macchina debian linux.
I passaggi trattati i seguenti:
- Installazione del database Maria DB
- Installazione di Apache
- Creazione della cartella per il sito
- Creazione del virtual host del sito
- Installazione del certificato https
- Installazione di WP
- Assimiamo che il dominio del sito sia già registrato presso un dns provider che punta al nostro server su cui installiamo il sito WP
- Ogni volta che si dovrà inserire una password o il prefisso delle tabelle WP, si dà per scontato che la password venga generata attraverso uno degli innumerevoli siti che generano password sicure con maiuscole, minuscole, numeri e simboli
- Le righe di codice che iniziano con # sono da eseguire in bash
- Le righe di codice che iniziano con > sono da eseguire in maria db