Archivi tag: tantrahost

Errore di connessione Filezilla? Ecco come risolverlo

Può capitare a volte che la connessione tramite Filezilla non avvenga correttamente, a causa di errori nel certificato di sicurezza. Ecco un esempio di ciò che accade

Status: Connecting to 91.197.xxx.xxx:21…
Status: Connection established, waiting for welcome message…
Status: Initializing TLS…
Status: Verifying certificate…
Status: TLS connection established.
Status: Connected
Status: Retrieving directory listing…
Command: PWD
Response: 257 “/” is your current location
Command: TYPE I
Response: 200 TYPE is now 8-bit binary
Command: PASV
Response: 227 Entering Passive Mode (91,197,xxx,xxx)
Command: MLSD
Error: Connection timed out after 20 seconds of inactivity
Error: Failed to retrieve directory listing

Risolvere questo errore è semplice, ci viene incontro il Gestore Siti di Filezilla. E’ l’icona in alto a sinistra a forma di server

gestore-siti

Una volta aperto il Gestore Siti, sulla sinistra comparirà l’elenco dei siti configurati (nel caso in cui non abbiate mai configurato un sito usando questo metodo, la lista sarà vuota). Fate clic sul tasto ‘nuovo sito’ in basso subito sotto la lista.

nuovo-sito

Dovrete quindi configurare la connessione impostando il nome dell’host (fornito all’interno della mail di attivazione, ad ogni modo se il sito a cui volete connettervi è miosito.it, dovrete inserire ftp.miosito.it), il nome utente e la password (anche questi si trovano nella mail di attivazione, sono le credenziali di accesso al cPanel).

IMPORTANTE: nel campo ‘criptazione’ dovrete selezionare l’opzione ‘Usa solo FTP non sicuro’.

Riempito questo semplice modulo fate clic su ‘OK’, e la connessione verrà aggiunta al Gestore Siti.

miosito

Cosa fare adesso per connettersi? Ripartendo dall’interfaccia principale di Filezilla basterà selezionare il Gestore Siti facendo clic sulla freccetta verso il basso, comparirà un menu a cascata dal quale sarà sufficiente scegliere il sito giusto e la connessione avverrà in un lampo.

gestore-2

Ancora dubbi? Contattateci!

 

 

 

Attacco POODLE: con Tantrahost da adesso siete al sicuro

La sicurezza online è un processo in continua evoluzione, e protocolli di sicurezza vengono migliorati e sviluppati continuamente per mantenere i vostri dati e le vostre comunicazioni al sicuro. Dopo essere stato rilasciato circa 15 anni fa, SSL 3.0 è un protocollo piuttosto antico: è stato succeduto da TLS da un po’ di tempo, ma la compatibilità SSL 3.0 è stata ampiamente mantenuta. Negli ultimi giorni, Bodo Möller del team di sicurezza di Google ha annunciato di aver scoperto una vulnerabilità nel vecchio protocollo SSL 3.0, nome in codice POODLE (o Padding Oracle On Downgraded Legacy Encryption, se non siete pratici con gli acronimi). Questa vulnerabilità permette ad un hacker di visualizzare il contenuto testuale in connessioni sicure su SSL 3.0.

Dopo aver effettuato un’analisi dettagliata del traffico che scorre attraverso la nostra rete, abbiamo deciso di rimuovere la compatibilità SSL 3.0 dai nostri server del tutto. Abbiamo automaticamente distribuito una patch per tutti i nostri server che rimuove SSL 3.0 e ciò significa che essi non saranno più vulnerabili agli attacchi POODLE (dobbiamo ammettere, non era qualcosa di cui ci eravamo preoccupati in precedenza). Si tratta di una soluzione adeguata, in base alle nostre analisi abbiamo ricevuto una frazione molto piccola di richieste su SSL 3.0, meno dello 0,02%.

Anche la maggior parte dei principali siti web e molti browser saranno via via lasciando perdere il supporto per SSL 3.0, che così diventerà presto confinato nella storia di Internet. A volte è più gentile dire addio, piuttosto che continuare a sostenere tecnologie superate. Così è con bei ricordi e molte grazie per il suo eccellente lavoro per il decennio e mezzo passato, che dobbiamo dire addio a SSL 3.0, la vita va avanti.

Alcuni plugin di sicurezza WordPress

Capita spesso che occorra proteggere la vostra installazione di WordPress, ecco quindi che vi introduciamo alcuni suggerimenti e plugin di sicurezza, che potrete utilizzare a vostra discrezione.

Plugin utili:

  • Plugin CHAP Secure Login: Si codifica password utilizzando il protocollo CHAP. Non ha bisogno di configurazione aggiuntiva, si installa e si attiva.
    URL: http://wordpress.org/extend/plugins/chap-secure-login/
  • Plugin Login Lockdown: Blocca gli IP dopo alcuni errori di autenticazione.
    URL: http://wordpress.org/extend/plugins/login-lockdown/
  • Plugin WP-DB-Backup: consente di eseguire facilmente il backup delle tabelle del database di WordPress. Si può anche effettuare il backup di altre tabelle nello stesso database.
    URL: http://wordpress.org/extend/plugins/wp-db-backup/
  • Plugin WP-Security-Scan:. Controlla il vostro sito WordPress alla ricerca di vulnerabilità di sicurezza.
    URL: http://wordpress.org/extend/plugins/wp-security-scan/

Consigli utili:

  • Proteggere il vostro file wp-config.php aggiungendo la seguente riga al vostro htaccess.:
    < FilesMatch ^wp-config.php$ > Deny from all
  • Modificare la password del wp-admin e del DB ogni certo numero di giorni.
  • Eliminare le informazioni della vostra versione di WP. Provate a dare un’occhiata al file header.php o quello del vostro tema, e commentate la linea (senza eliminarlo).
  • Nascondere la directory wp-content: Potete farlo creando un file index.html vuoto in questa directory o creando un htaccess nella stessa cartella e aggiungere la seguente riga.: Options All -Indexes
  • Bloccare le directory di WP ai motori di ricerca attraverso il file robots.txt scrivendo la seguente riga nel file:
    Disallow: / wp-*

  • Mantenere aggiornato il vostro WordPress, sempre all’ultima versione.
  • Controllare i plugin, assicurandosi che le siano ufficiali o ben recensiti. Di solito le persone offrono plugin per la comunità, la gente scarica e non si rende conto che il plugin contiene vari strumenti di hacking o di spamming.
  • Utilizzare SFTP: Sostituire la connessione FTP con SFTP, che invia le informazioni caricate al nostro server in modo sicuro. (Nota: È necessario cambiare la porta a 22, e abilitare l’accesso Bash)

Informazioni supplementari

  • Guida ufficiale sulla sicurezza di WordPress: http://codex.wordpress.org/Hardening_WordPress
  • Plugin WordPress Firewall: http://wordpress.org/extend/plugins/wordpress-firewall-2/
    Questo plugin WordPress simula le richieste web con semplici euristiche specifiche per WordPress per identificare e fermare gli attacchi più evidenti.
  • Plugin Postlogger For WordPress: http://www.village-idiot.org/archives/2008/04/16/postlogger-for-wordpress/
    Questo plugin vi sembrerà inutile fino a quando il vostro WordPress viene hackerato. Se vi capita di utilizzare questo plugin, registrando attivamente tutte le variabili $POST, e la vostra installazione di WordPress viene compromessa, sarete in grado di tornare indietro e vedere effettivamente dove e come l’exploit si è verificato. Armati di queste informazioni, è possibile fornire i dati agli sviluppatori di WordPress.
  • Plugin BulletProof Security: http://wordpress.org/extend/plugins/bulletproof-security/
    Protegge il vostro sito WordPress contro attacchi XSS, RFI, CRLF, CSRF, Base64, injection del codice e tentativi di SQL injection.

Ci auguriamo che questi spunti vi aiutino ad aumentare la sicurezza del vostro sito WordPress

Come configurare il client di posta Thunderbird con Tantrahost

Utilizzare un client di posta anziché la webmail è una scelta comune dei nostri clienti, dati i vantaggi che un programma di posta elettronica si porta in dote rispetto alla semplice interfaccia grafica della webmail. Tra tutti i client di posta, Mozilla Thunderbird è il più utilizzato. In questo articolo vi spieghiamo come configurarlo utilizzando i servizi di Tantrahost.

Passo 1: creazione account di posta

Accedete al cPanel ed individuate l’icona Email Accounts sotto il menu Mail.

1

A questo punto riempite i campi con la mail che vorrete creare e la password, e fate clic sul tasto ‘Create account‘.

2

L’account di posta è stato creato ed è già attivo. Potrete utilizzare tranquillamente la webmail per inviare e ricevere messaggi (la trovate all’indirizzo http://vostrosito.it/webmail )

Passo 2: Creazione di un nuovo account

Una volta scaricato e installato Thunderbird dovrete creare un nuovo account email: fate clic su ‘cartelle locali‘ a sinistra, la schermata principale mostrerà l’opzione ‘Crea un nuovo account‘ come da figura seguente.

3

In ogni caso potete anche selezionare il menu Strumenti in alto, poi Impostazioni Account, e nella finestra che si apre potrete selezionare ‘Azioni account‘ ed infine ‘Aggiungi altro account‘.

4

In ogni caso arriverete a visualizzare la finestra sottostante:

5

Riempite i campi con il nome da visualizzare, la mail appena creata e la password che avete scelto e fate clic su ‘continua‘. Comparirà un tasto ‘Configurazione manuale‘, premetelo.

6

Vi comparirà una nuova finestra, che dovrete riempire nel seguente modo:

7

Importante: sostituite “tantrahost.com” con il dominio che avete acquistato, quindi se siete proprietari del dominio “pippo.com” dovrete scrivere “mail.pippo.com” nel campo di testo!!!
Importante: inserite nella casella ‘Nome utente’ l’indirizzo email che avete creato!!!

Poi fate clic su ‘Crea un account‘. Nel caso in cui dovesse comparire un avviso del genere, mettete la spunta su ‘Sono consapevole dei rischi‘ e premete ‘Crea un account‘.

8

Adesso verrete rimandati direttamente alla schermata principale di Thunderbird. Noterete il nuovo account in alto a sinistra:

9

Complimenti, avete appena configurato correttamente un account di posta sul vostro client Thunderbird. Adesso provate pure ad inviare o ricevere email, e se riscontrate problemi segnalate l’errore al supporto tecnico.

Come controllare la frequenza di scansione dei bot

I bot e i crawler sono software automatici che navigano il vostro sito per i motivi più svariati: ad esempio il bot di Google viene utilizzato dal gigante di Internet per catalogare e indicizzare il vostro sito nel suo motore di ricerca, mentre il bot di Bing è l’equivalente Microsoft.

Ma non tutti i bot sono portatori di vantaggi, anzi una frequentazione massiva di questo tipo di visitatori automatici rischierà addirittura di saturare l’intero quantitativo di risorse messe a vostra disposizione, con la spiacevole conseguenza di una sospensione dell’account.

Per controllare la frequenza di scansione dei bot (in inglese si usa il termine ‘crawling’) è possibile agire tramite il file robots.txt. Ecco un esempio di una possibile configurazione:


User-agent: *
Crawl-delay: 35
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-*

User-agent: MJ12bot
Disallow: /

User-agent: Yandex
Disallow: /

User-agent: BLEXBot
Disallow: /

User-agent: proximic
Disallow: /

user-agent: AhrefsBot
disallow: /

user-agent: SEOkicks-Robot
disallow: /

user-agent: Ezooms
disallow: /

user-agent: sistrix
disallow: /

Questa configurazione, oltre a bloccare eventuali cartelle di WordPress da un’inutile azione troppo frequente da parte dei bot, non consentirà a bot dannosi di navigare il nostro sito, risparmiando così un innumerevole quantitativo di risorse. Tali bot bloccati causano soltanto problemi, non appartengono a motori di ricerca (se non Yandex, che è russo, toglietelo dalla lista se vi interessa ricevere traffico dalla Russia).

Ma ciò non è sufficiente per controllare la frequenza di scansione da parte di Google e Bing: per questi due motori di ricerca dovrete controllare il ritardo di scansione dal pannello di controllo:

http://support.google.com/webmasters/bin/answer.py?hl=it&answer=48620
http://www.bing.com/webmaster/help/crawl-control-55a30302

In particolare, per Google dovrete accedere ai webmaster tools ed inserire un valore basso, come ad esempio:

  • 0.004 richieste al secondo
  • 250 secondi tra le richieste

Così facendo il bot di Google navigherà il vostro sito al massimo ogni 250 secondi, una frequenza che non danneggia assolutamente il posizionamento e consentirà al vostro account di risparmiare preziose risorse.

Come proteggere WordPress dagli attacchi a forza bruta distribuiti

Un attacco a forza bruta su WordPress si ha quando un potenziale hacker cerca di ottenere l’accesso al vostro pannello di amministrazione effettuando una serie di tentativi di login provando tutte le combinazioni user/password a disposizione. Naturalmente dopo aver tentato le più scontate (admin/admin, admin/pass, admin/123456…) utilizzerà un software generatore di password che, state sicuri, saturerà ben presto le risorse che il vostro piano hosting vi mette a disposizione.

Continua la lettura di Come proteggere WordPress dagli attacchi a forza bruta distribuiti

Un set di plugin WordPress essenziali

Ecco un insieme di plugin di cui un’installazione WordPress non può fare a meno. Contattateci se avete bisogno di assistenza all’installazione o alla configurazione, siamo al vostro servizio!

Akismet

Il plugin anti-spam per eccellenza, già installato di default con WordPress. Occorre registrarsi gratuitamente sul sito per ottenere una Akismet-key, un codice alfanumerico necessario per l’attivazione del plugin.

Google Analyticator

Aggiunge il codice necessario per abilitare Google Analytics, inserendo un tag all’interno di ogni pagina del sito. Dopo l’attivazione del plugin dovrete autenticarvi col vostro account Google, selezionare il dominio da monitorare e il gioco è fatto.

Google XML Sitemaps

Il plugin genera una sitemap in formato XML e comprensibile dagli spider dei motori di ricerca: aiuterà il vostro sito ad essere indicizzato su Google, Bing e Yahoo. E’ possibile configurare il plugin in modo da ricreare una sitemap ogni volta che viene aggiunto un nuovo articolo o una nuova pagina.

Limit Login Attempts

Un plugin di sicurezza, pone un limite massimo sui login errati al pannello di admin. Così facendo si eliminano gli attacchi a forza bruta provenienti da un unico ip. Di default ogni volta che 4 tentativi di login non vanno a buon fine, inibisce l’accesso all’area di amministrazione per 20 minuti.

Related Posts by Zemanta

Per abbassare la frequenza di rimbalzo è buona prassi cercare di mantenere il lettore sul sito il più possibile: per questo Zemanta crea una lista di articoli correlati con l’anteprima, in modo che l’utente possa visualizzare altre pagine anziché andarsene.

Tag Excess

Permette di evitare la penalizzazione di Google relativa al troppo uso di tag, tagliando quelli meno utilizzati in modo da restare nel rapporto 5:1 tra articoli e tag.

Shadowbox JS

Permette la visualizzazione delle gallerie in stile Lightbox (immagine in primo piano, centrata, a grandezza naturale, sfondo del sito oscurato e non cliccabile)

Contact Forms 7

Con Contact Forms 7 creare moduli di contatto sarà un gioco da ragazzi: sono ampiamente configurabili, sia negli elementi sia nel testo della mail, ma già la versione di default, inserita in una pagina di contatti, darà al vostro sito web un aspetto elegante e professionale.

WP Google Fonts

Per aggiungere al vostro sito la potenza dei Google Font senza dover toccare i file sorgenti: vi basterà selezionare il Google Font da usare e il tag HTML a cui applicarlo.

WP Super Cache

Se il vostro sito diviene molto visitato è buona norma installare questo plugin: farà sì che le richieste al server diminuiscano, producendo delle copie delle pagine su file HTML statici, e saranno questi che verranno mostrati all’utente, risparmiando risorse di sistema e rendendo il vostro sito più veloce e ottimizzato.

AddToAny

Un semplice plugin che permette di inserire, in cima agli articoli o alle pagine, un insieme di icone social (Facebook, Twitter, Google+, Pinterest e molti altri) in modo che il visitatore possa condividere il vostro articolo in men che non si dica.

Nuove regole per la registrazione dei domini

Dal 2014 l’ICANN, l’ente che gestisce a livello mondiale, la registrazione di tutti i domini più comuni tra i quali .com, .net, .org, .info, ha stabilito delle nuove normative per mantenere validi e aggiornati i dati di registrazione di un dominio.

In sostanza occorre verificare i dati utilizzati per l’indirizzo email, perchè se la mail è inesistente il dominio verrà prima sospeso poi cancellato.

Affinchè l’ICANN verifichi il vostro indirizzo email, vi sarà inviata in automatico una email all’indirizzo che specificherete in fase di registrazione del dominio. Tale email conterrà un link da cliccare, eseguite questa semplice operazione e il gioco è fatto! Dovrete validare il vostro dominio entro 15 giorni dalla ricezione della email, se non lo farete il Registro provvede a sospendere il dominio, che resterà registrato, ma non più visibile (e dunque il vostro sito apparirà offline).

Domande frequenti:

Cosa succede se non faccio clic sul link di verifica?

Molto semplice: il vostro dominio dopo alcuni giorni verrà sospeso. Per disattivare la sospensione e riportarlo online dovrete naturalmente andare a ricercare la mail e cliccare sul link di attivazione.

Questa procedura ha a che fare con i domini .it?

NO. L’ente che gestisce i domini .it NON ha niente a che fare con l’ICANN, dunque tranquilli, registrare un dominio .it non implica che seguiate questa procedura.

Come posso vedere se il mio dominio è stato sospeso?

Se il vostro sito registrato da poco risulta offline, provate ad effettuare un test gratuito su internet, ad esempio all’indirizzo http://leafdns.com. Se troverete i nameserver impostati come ns1.verification-hold.suspended-domain.com e ns2.verification-hold.suspended-domain.com indovinate un po’… il vostro sito è stato sospeso.

A chi viene inviata la mail di verifica?

La email di verifica viene inviata all’indirizzo email del proprietario del dominio (Owner-C) e reinviata ogni 3 giorni per scopo di promemoria.

10 dicembre 2013: un piccolo problema (risolto)

Cari clienti,
oggi 10 dicembre 2013 c’è stato un disservizio durato circa 90 minuti, che ha causato l’irraggiungibilità di alcuni dei vostri siti.

Cosa è successo? Il concetto è semplice, l’account di un nostro cliente è stato vittima di un attacco che ha causato l’installazione di uno script malevolo, che ha causato un quantitativo enorme di richieste al server ed un altissimo carico computazionale, che il server non è stato capace di gestire. Purtroppo però essendo un server di tipo condiviso è stato difficile risalire all’account incriminato, e questo ha allungato la durata del disservizio fino a 90 minuti effettivi.

Adesso l’account è stato isolato ed è stato messo in quarantena, potranno esserci ulteriori strascichi di piccolissima entità, che andranno a sparire nel corso delle prossime ore.

Ci scusiamo con tutti voi per l’accaduto, promettendovi che lavoreremo sempre più duramente per fornirvi un servizio all’altezza delle vostre esigenze.

Un caro saluto,
lo staff di Tantrahost.

Alcuni motivi per cui il vostro sito consuma più risorse del dovuto

Noi di Tantrahost vogliamo assicurare a tutti i nostri clienti la migliore esperienza di hosting possibile, ecco perchè poniamo dei limiti sull’uso delle risorse, che se superati possono comportare una sospensione temporanea dell’account.

I limiti sulle risorse sono essenzialmente due:

  • 3000 esecuzioni orarie (o 13000 in 24 ore)
  • 3000 secondi di CPU all’ora (o 13000 in 24 ore)

Iniziamo col dire che questi limiti POSSONO essere superati: il che significa che se il vostro sito in una data ora consuma (ad esempio) 3100 secondi di CPU non incorre in nessuna sospensione. Quando invece i limiti vengono superati in maniera rilevante, scatta la sospensione fino all’ora successiva. Ciò significa che se il vostro account viene sospeso alle 15:30 starà offline fino alle 16:00. Sarete avvisati di ciò tramite una mail inviata dal server, di cui riportiamo il testo:

Hello,
This is an automated message to advise you that web access to account solaconi has been temporarily limited due to high server resource consumption.
This means that the account was consuming a huge amount of the server’s resources and resulting in poor performance for other users on the server.

Il vostro sito risulterà offline, ma avrete accesso al cPanel e all’FTP e la mail continuerà a funzionare. Una volta appurato che il vostro sito è offline per sospensione, la prima cosa da fare dovrà essere quella di esaminare il grafico delle risorse, che potrete trovare all’interno del cPanel tramite l’icona HTTP CPU Usage Statistics, sotto il pannello 1H Software:


usage

Provate a farci clic: compariranno due grafici come questi:


stat

Il primo grafico è quello del realtime, ossia dei secondi di CPU, mentre il secondo è relativo alle esecuzioni. Se notate un picco in uno di questi grafici, ecco spiegata la sospensione. Se invece non notate picchi strani, verificate la scala: il vostro sito consuma costantemente le risorse, dunque il motivo della sospensione consiste nell’esaurimento delle risorse nell’arco delle 24 ore (ricordate: 13000 esecuzioni o 13000 secondi di CPU).

Abbiamo dunque verificato che effettivamente c’è un problema (ergo: non sospendiamo siti a caso o per sadismo), adesso cerchiamo di intervenire per trovare una soluzione. La prima cosa da fare è quella di controllare i log, per fare questo avete a disposizione l’icona Raw Access Logs sul cPanel, è quella col riquadro rosso nella schermata seguente:


log

A questo punto vi comparirà la schermata con i vostri domini (vi ricordiamo che se avete acquistato un piano starter avrete un dominio solo, se avete acquistato un piano professional ne potrete avere anche più di uno), fate clic sul dominio per scaricare i log in formato .gz. Estraeteli con un qualsiasi software adatto allo scopo ed apriteli con un editor di testo. Con i log sotto mano potrete capire alcune cose:

Se ci sono tante chiamate verso la pagina di login del vostro CMS (ossia chiamate verso sito.it/administrator oppure sito.it/wp-login.php) abbiamo trovato la causa del problema: è in corso un attacco a forza bruta verso la vostra pagina di login: potrete bloccare l’IP o installare un plugin che limiti i tentativi di accesso.

Se ci sono tante richieste da parte di bot di Yandex, Baidu o Bing abbiamo trovato la causa del problema. Bloccateli tramite robots.txt o .htaccess e il problema non si ripresenterà

Se invece all’apparenza sembra tutto ok, la causa va ricercata nei plugin o nei temi che avete installato. Per prima cosa dovrete aggiornare tutto all’ultima versione disponibile, script, cms, temi, plugin, moduli e estensioni. Fatto ciò passate ad installare un plugin per la cache: se usate WordPress vi consigliamo spassionatamente WP Super Cache, se usate Joomla JotCache. Tramite la cache il numero di esecuzioni si ridurrà sensibilmente, perchè verranno create pagine statiche HTML che verranno visualizzate direttamente senza ricorrere a chiamate lato server di script o query su DB.

A questo punto monitorate la situazione per almeno 24 ore, e se le sospensioni persistono contattate il nostro supporto.