Archivi tag: featured

Errore di connessione Filezilla? Ecco come risolverlo

Può capitare a volte che la connessione tramite Filezilla non avvenga correttamente, a causa di errori nel certificato di sicurezza. Ecco un esempio di ciò che accade

Status: Connecting to 91.197.xxx.xxx:21…
Status: Connection established, waiting for welcome message…
Status: Initializing TLS…
Status: Verifying certificate…
Status: TLS connection established.
Status: Connected
Status: Retrieving directory listing…
Command: PWD
Response: 257 “/” is your current location
Command: TYPE I
Response: 200 TYPE is now 8-bit binary
Command: PASV
Response: 227 Entering Passive Mode (91,197,xxx,xxx)
Command: MLSD
Error: Connection timed out after 20 seconds of inactivity
Error: Failed to retrieve directory listing

Risolvere questo errore è semplice, ci viene incontro il Gestore Siti di Filezilla. E’ l’icona in alto a sinistra a forma di server

gestore-siti

Una volta aperto il Gestore Siti, sulla sinistra comparirà l’elenco dei siti configurati (nel caso in cui non abbiate mai configurato un sito usando questo metodo, la lista sarà vuota). Fate clic sul tasto ‘nuovo sito’ in basso subito sotto la lista.

nuovo-sito

Dovrete quindi configurare la connessione impostando il nome dell’host (fornito all’interno della mail di attivazione, ad ogni modo se il sito a cui volete connettervi è miosito.it, dovrete inserire ftp.miosito.it), il nome utente e la password (anche questi si trovano nella mail di attivazione, sono le credenziali di accesso al cPanel).

IMPORTANTE: nel campo ‘criptazione’ dovrete selezionare l’opzione ‘Usa solo FTP non sicuro’.

Riempito questo semplice modulo fate clic su ‘OK’, e la connessione verrà aggiunta al Gestore Siti.

miosito

Cosa fare adesso per connettersi? Ripartendo dall’interfaccia principale di Filezilla basterà selezionare il Gestore Siti facendo clic sulla freccetta verso il basso, comparirà un menu a cascata dal quale sarà sufficiente scegliere il sito giusto e la connessione avverrà in un lampo.

gestore-2

Ancora dubbi? Contattateci!

 

 

 

Come controllare la frequenza di scansione dei bot

I bot e i crawler sono software automatici che navigano il vostro sito per i motivi più svariati: ad esempio il bot di Google viene utilizzato dal gigante di Internet per catalogare e indicizzare il vostro sito nel suo motore di ricerca, mentre il bot di Bing è l’equivalente Microsoft.

Ma non tutti i bot sono portatori di vantaggi, anzi una frequentazione massiva di questo tipo di visitatori automatici rischierà addirittura di saturare l’intero quantitativo di risorse messe a vostra disposizione, con la spiacevole conseguenza di una sospensione dell’account.

Per controllare la frequenza di scansione dei bot (in inglese si usa il termine ‘crawling’) è possibile agire tramite il file robots.txt. Ecco un esempio di una possibile configurazione:


User-agent: *
Crawl-delay: 35
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-*

User-agent: MJ12bot
Disallow: /

User-agent: Yandex
Disallow: /

User-agent: BLEXBot
Disallow: /

User-agent: proximic
Disallow: /

user-agent: AhrefsBot
disallow: /

user-agent: SEOkicks-Robot
disallow: /

user-agent: Ezooms
disallow: /

user-agent: sistrix
disallow: /

Questa configurazione, oltre a bloccare eventuali cartelle di WordPress da un’inutile azione troppo frequente da parte dei bot, non consentirà a bot dannosi di navigare il nostro sito, risparmiando così un innumerevole quantitativo di risorse. Tali bot bloccati causano soltanto problemi, non appartengono a motori di ricerca (se non Yandex, che è russo, toglietelo dalla lista se vi interessa ricevere traffico dalla Russia).

Ma ciò non è sufficiente per controllare la frequenza di scansione da parte di Google e Bing: per questi due motori di ricerca dovrete controllare il ritardo di scansione dal pannello di controllo:

http://support.google.com/webmasters/bin/answer.py?hl=it&answer=48620
http://www.bing.com/webmaster/help/crawl-control-55a30302

In particolare, per Google dovrete accedere ai webmaster tools ed inserire un valore basso, come ad esempio:

  • 0.004 richieste al secondo
  • 250 secondi tra le richieste

Così facendo il bot di Google navigherà il vostro sito al massimo ogni 250 secondi, una frequenza che non danneggia assolutamente il posizionamento e consentirà al vostro account di risparmiare preziose risorse.

Come proteggere WordPress dagli attacchi a forza bruta distribuiti

Un attacco a forza bruta su WordPress si ha quando un potenziale hacker cerca di ottenere l’accesso al vostro pannello di amministrazione effettuando una serie di tentativi di login provando tutte le combinazioni user/password a disposizione. Naturalmente dopo aver tentato le più scontate (admin/admin, admin/pass, admin/123456…) utilizzerà un software generatore di password che, state sicuri, saturerà ben presto le risorse che il vostro piano hosting vi mette a disposizione.

Continua la lettura di Come proteggere WordPress dagli attacchi a forza bruta distribuiti

Un set di plugin WordPress essenziali

Ecco un insieme di plugin di cui un’installazione WordPress non può fare a meno. Contattateci se avete bisogno di assistenza all’installazione o alla configurazione, siamo al vostro servizio!

Akismet

Il plugin anti-spam per eccellenza, già installato di default con WordPress. Occorre registrarsi gratuitamente sul sito per ottenere una Akismet-key, un codice alfanumerico necessario per l’attivazione del plugin.

Google Analyticator

Aggiunge il codice necessario per abilitare Google Analytics, inserendo un tag all’interno di ogni pagina del sito. Dopo l’attivazione del plugin dovrete autenticarvi col vostro account Google, selezionare il dominio da monitorare e il gioco è fatto.

Google XML Sitemaps

Il plugin genera una sitemap in formato XML e comprensibile dagli spider dei motori di ricerca: aiuterà il vostro sito ad essere indicizzato su Google, Bing e Yahoo. E’ possibile configurare il plugin in modo da ricreare una sitemap ogni volta che viene aggiunto un nuovo articolo o una nuova pagina.

Limit Login Attempts

Un plugin di sicurezza, pone un limite massimo sui login errati al pannello di admin. Così facendo si eliminano gli attacchi a forza bruta provenienti da un unico ip. Di default ogni volta che 4 tentativi di login non vanno a buon fine, inibisce l’accesso all’area di amministrazione per 20 minuti.

Related Posts by Zemanta

Per abbassare la frequenza di rimbalzo è buona prassi cercare di mantenere il lettore sul sito il più possibile: per questo Zemanta crea una lista di articoli correlati con l’anteprima, in modo che l’utente possa visualizzare altre pagine anziché andarsene.

Tag Excess

Permette di evitare la penalizzazione di Google relativa al troppo uso di tag, tagliando quelli meno utilizzati in modo da restare nel rapporto 5:1 tra articoli e tag.

Shadowbox JS

Permette la visualizzazione delle gallerie in stile Lightbox (immagine in primo piano, centrata, a grandezza naturale, sfondo del sito oscurato e non cliccabile)

Contact Forms 7

Con Contact Forms 7 creare moduli di contatto sarà un gioco da ragazzi: sono ampiamente configurabili, sia negli elementi sia nel testo della mail, ma già la versione di default, inserita in una pagina di contatti, darà al vostro sito web un aspetto elegante e professionale.

WP Google Fonts

Per aggiungere al vostro sito la potenza dei Google Font senza dover toccare i file sorgenti: vi basterà selezionare il Google Font da usare e il tag HTML a cui applicarlo.

WP Super Cache

Se il vostro sito diviene molto visitato è buona norma installare questo plugin: farà sì che le richieste al server diminuiscano, producendo delle copie delle pagine su file HTML statici, e saranno questi che verranno mostrati all’utente, risparmiando risorse di sistema e rendendo il vostro sito più veloce e ottimizzato.

AddToAny

Un semplice plugin che permette di inserire, in cima agli articoli o alle pagine, un insieme di icone social (Facebook, Twitter, Google+, Pinterest e molti altri) in modo che il visitatore possa condividere il vostro articolo in men che non si dica.

Nuove regole per la registrazione dei domini

Dal 2014 l’ICANN, l’ente che gestisce a livello mondiale, la registrazione di tutti i domini più comuni tra i quali .com, .net, .org, .info, ha stabilito delle nuove normative per mantenere validi e aggiornati i dati di registrazione di un dominio.

In sostanza occorre verificare i dati utilizzati per l’indirizzo email, perchè se la mail è inesistente il dominio verrà prima sospeso poi cancellato.

Affinchè l’ICANN verifichi il vostro indirizzo email, vi sarà inviata in automatico una email all’indirizzo che specificherete in fase di registrazione del dominio. Tale email conterrà un link da cliccare, eseguite questa semplice operazione e il gioco è fatto! Dovrete validare il vostro dominio entro 15 giorni dalla ricezione della email, se non lo farete il Registro provvede a sospendere il dominio, che resterà registrato, ma non più visibile (e dunque il vostro sito apparirà offline).

Domande frequenti:

Cosa succede se non faccio clic sul link di verifica?

Molto semplice: il vostro dominio dopo alcuni giorni verrà sospeso. Per disattivare la sospensione e riportarlo online dovrete naturalmente andare a ricercare la mail e cliccare sul link di attivazione.

Questa procedura ha a che fare con i domini .it?

NO. L’ente che gestisce i domini .it NON ha niente a che fare con l’ICANN, dunque tranquilli, registrare un dominio .it non implica che seguiate questa procedura.

Come posso vedere se il mio dominio è stato sospeso?

Se il vostro sito registrato da poco risulta offline, provate ad effettuare un test gratuito su internet, ad esempio all’indirizzo http://leafdns.com. Se troverete i nameserver impostati come ns1.verification-hold.suspended-domain.com e ns2.verification-hold.suspended-domain.com indovinate un po’… il vostro sito è stato sospeso.

A chi viene inviata la mail di verifica?

La email di verifica viene inviata all’indirizzo email del proprietario del dominio (Owner-C) e reinviata ogni 3 giorni per scopo di promemoria.

Alcuni motivi per cui il vostro sito consuma più risorse del dovuto

Noi di Tantrahost vogliamo assicurare a tutti i nostri clienti la migliore esperienza di hosting possibile, ecco perchè poniamo dei limiti sull’uso delle risorse, che se superati possono comportare una sospensione temporanea dell’account.

I limiti sulle risorse sono essenzialmente due:

  • 3000 esecuzioni orarie (o 13000 in 24 ore)
  • 3000 secondi di CPU all’ora (o 13000 in 24 ore)

Iniziamo col dire che questi limiti POSSONO essere superati: il che significa che se il vostro sito in una data ora consuma (ad esempio) 3100 secondi di CPU non incorre in nessuna sospensione. Quando invece i limiti vengono superati in maniera rilevante, scatta la sospensione fino all’ora successiva. Ciò significa che se il vostro account viene sospeso alle 15:30 starà offline fino alle 16:00. Sarete avvisati di ciò tramite una mail inviata dal server, di cui riportiamo il testo:

Hello,
This is an automated message to advise you that web access to account solaconi has been temporarily limited due to high server resource consumption.
This means that the account was consuming a huge amount of the server’s resources and resulting in poor performance for other users on the server.

Il vostro sito risulterà offline, ma avrete accesso al cPanel e all’FTP e la mail continuerà a funzionare. Una volta appurato che il vostro sito è offline per sospensione, la prima cosa da fare dovrà essere quella di esaminare il grafico delle risorse, che potrete trovare all’interno del cPanel tramite l’icona HTTP CPU Usage Statistics, sotto il pannello 1H Software:


usage

Provate a farci clic: compariranno due grafici come questi:


stat

Il primo grafico è quello del realtime, ossia dei secondi di CPU, mentre il secondo è relativo alle esecuzioni. Se notate un picco in uno di questi grafici, ecco spiegata la sospensione. Se invece non notate picchi strani, verificate la scala: il vostro sito consuma costantemente le risorse, dunque il motivo della sospensione consiste nell’esaurimento delle risorse nell’arco delle 24 ore (ricordate: 13000 esecuzioni o 13000 secondi di CPU).

Abbiamo dunque verificato che effettivamente c’è un problema (ergo: non sospendiamo siti a caso o per sadismo), adesso cerchiamo di intervenire per trovare una soluzione. La prima cosa da fare è quella di controllare i log, per fare questo avete a disposizione l’icona Raw Access Logs sul cPanel, è quella col riquadro rosso nella schermata seguente:


log

A questo punto vi comparirà la schermata con i vostri domini (vi ricordiamo che se avete acquistato un piano starter avrete un dominio solo, se avete acquistato un piano professional ne potrete avere anche più di uno), fate clic sul dominio per scaricare i log in formato .gz. Estraeteli con un qualsiasi software adatto allo scopo ed apriteli con un editor di testo. Con i log sotto mano potrete capire alcune cose:

Se ci sono tante chiamate verso la pagina di login del vostro CMS (ossia chiamate verso sito.it/administrator oppure sito.it/wp-login.php) abbiamo trovato la causa del problema: è in corso un attacco a forza bruta verso la vostra pagina di login: potrete bloccare l’IP o installare un plugin che limiti i tentativi di accesso.

Se ci sono tante richieste da parte di bot di Yandex, Baidu o Bing abbiamo trovato la causa del problema. Bloccateli tramite robots.txt o .htaccess e il problema non si ripresenterà

Se invece all’apparenza sembra tutto ok, la causa va ricercata nei plugin o nei temi che avete installato. Per prima cosa dovrete aggiornare tutto all’ultima versione disponibile, script, cms, temi, plugin, moduli e estensioni. Fatto ciò passate ad installare un plugin per la cache: se usate WordPress vi consigliamo spassionatamente WP Super Cache, se usate Joomla JotCache. Tramite la cache il numero di esecuzioni si ridurrà sensibilmente, perchè verranno create pagine statiche HTML che verranno visualizzate direttamente senza ricorrere a chiamate lato server di script o query su DB.

A questo punto monitorate la situazione per almeno 24 ore, e se le sospensioni persistono contattate il nostro supporto.

Come mettere in sicurezza un sito Joomla

Sappiamo quanto possa essere utile e comodo utilizzare Joomla per sviluppare un sito web per un cliente ( o per la vostra azienda ) quando non avete molto tempo per crearlo da zero . Joomla è uno dei più utilizzati CMS  ( Content Managment System ) al mondo, tuttavia come qualsiasi altra applicazione dinamica che potrete installare sul vostro account, tra i suoi punti deboli c’è quello della sicurezza.

Come già saprete per noi di Tantrahost la sicurezza del vostro account è fondamentale, e abbiamo implementato diversi sistemi per proteggere le vostre applicazioni. Non possiamo tuttavia proteggere ogni parte di software che i clienti installano sui loro siti – purtroppo non esiste un modo garantito per proteggere i vostri siti web da exploit o malintenzionati, a causa di vulnerabilità nel codice dovute al non aggiornamento dei vostri script, temi o plugin alle ultime versioni, estensioni mal codificate o codice personalizzato.

Questo tutorial si propone di fornire alcuni consigli e suggerimenti che vi aiuteranno ad aggiungere un ulteriore livello di sicurezza per le installazioni di Joomla.

Cose fondamentali da sapere

  •     Tenere sempre la vostra installazione di Joomla aggiornata, incluse tutte le eventuali estensioni che avete installato (questo punto è fondamentale!).
  •     Creare un nuovo utente amministratore con un nome utente personalizzato e quindi eliminare l’utente di default ‘admin’, in quanto molti attacchi si rivolgono a nomi utente standard.
  •     Cambiare la password dell’account admininistrator regolarmente.
  •     Installare solo le estensioni che sono ben esaminate dalla comunità di Joomla , e che vengono sviluppate attivamente.
  •     Durante l’installazione di Joomla, modificare il prefisso predefinito del database . Tutte le installazioni di default di Joomla utilizzano il prefisso del database ” jos_ “, che rende il lavoro di ogni sfruttatore molto più facile . È possibile cambiare questo prefisso in qualcosa di unico in fase di installazione , ma se avete già installato tutto il seguente plugin può facilmente aiutare a cambiare il prefisso del database di Joomla con pochi click : http://extensions.joomla.org/extensions/hosting- a-servers/database-management/14895

Proteggere Joomla

Di seguito è riportato un elenco di modifiche o adattamenti consigliati per le vostre installazioni di Joomla . Leggetelo con attenzione e se avete domande non esitate a mettervi in ​​contatto con il nostro team di supporto prima di procedere.

1 ) Rimuovere i componenti o le estensioni che non utilizzate. Se avete provato ad utilizzare un’estensione o un componente e vi siete resi conto che non era quello che vi aspettavate , non tenerlo disabilitato ma eliminatelo.

2) Utilizzare un componente SEF . Una delle tecniche più comuni da parte di hacker è quello di utilizzare Google inurl per la ricerca di un exploit vulnerabile. Vi consigliamo vivamente l’uso di una estensione SEF per ri-scrivere il vostro URL e impedire che gli hacker trovino gli exploit. Questo dovrebbe anche essere positivo verso i motori di ricerca grazie alla tecnica dei friendly URL.  Potete controllare le estensioni di Joomla disponibili presso : http://extensions.joomla.org/index.php?option=com_mtree&task=listcats&cat_id=1803&Itemid=35

3) Aggiungere le seguenti righe al vostro file. htaccess per bloccare alcuni exploit comuni.

########## Begin – Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End – Rewrite rules to block out some common exploits

4) Proteggere la cartella ” tmp” . Aggiungete dei cron per cancellare il contenuto della cartella tmp. La maggior parte dei recenti attacchi che abbiamo visto su Joomla sono stati fatti a causa di file precedentemente caricati nella cartella tmp . Quello che consigliamo è quello di impostare un cron job per cancellare ogni giorno il contenuto di questa cartella, è possibile utilizzare il seguente comando :nice- n 15 / bin / find / home /UTENTE-CPANEL/ public_html / tmp / – type f – mtime 1 – exec rm -rf { } \ ;

Dovreste anche disattivare l’ accesso web alla cartella tmp con l’aggiunta di un file .htaccess all’interno di essa contenente la seguente riga .:

deny from all

5) Installazione di un’estensione di sicurezza . Ci sono un sacco di estensioni di sicurezza offerte gratuitamente al’interno della directory delle estensioni di Joomla . Scegliete quelle che hanno un punteggio più alto o quella che preferite: http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection6) Di recente abbiamo visto diversi attacchi a forza bruta alla cartella amministratore di Joomla . È possibile proteggere la cartella di amministratore con una richiesta di conferma prima della pagina di login standard – basta usare l’opzione “Password Protect Directory” che troverete all’interno del vostro pannello di controllo: aggiungerà un secondo strato di sicurezza per proteggersi da questo attacco.

Documentazione ufficiale

Vi consigliamo anche di leggere i seguenti articoli:

http://docs.joomla.org/Joomla_Administrators_Security_Checklist
http://docs.joomla.org/Htaccess_examples_%28security%29

Ci auguriamo che questo breve tutorial sia stato di vostro gradimento. Se avete domande, il nostro team di supporto è a disposizione per darvi tutta l’assistenza che meritate!

WordPress Momentaneamente non disponibile per manutenzione. Riprovare fra un minuto.

Oggi durante i nostri interventi di supporto clienti ci siamo trovati davanti ad un problema nuovo, che ci pare carino condividere con tutti i lettori.  Il problema è il seguente: durante un aggiornamento di plugin wordpress non andato a buon fine, il sito web mostra la seguente dicitura:

WordPress Momentaneamente non disponibile per manutenzione. Riprovare fra un minuto.

Naturalmente è  inutile riprovare: l’errore persiste. Come fare dunque a risolverlo?

Continua la lettura di WordPress Momentaneamente non disponibile per manutenzione. Riprovare fra un minuto.