Magento Https come abilitarlo?

Magento Https come abilitarlo?

Google a partire da agosto 2014 inizia ad indicizzare gli URL con HTTPS (maggiori info in questo post). Successivamente da dicembre 2015 Google comunica che le pagine HTTPS verranno indicizzate di default.

La protezione del sito tramite protocollo HTTPS consente di avere interazioni con l’utente e quindi scambio dati in maniera crittografata. I dati inviati tramite HTTPS vengono protetti tramite protocollo TLS. Le comunicazioni tra server e client avvengo in maniera crittografata attraverso l’utilizzo di un certificato digitale.

magento-attivare-https

Magento Https perchè acquistare un certificato TLS?

La ragione principale per dotare il nostro Magento di HTTPS e quindi acquistare un certificato TLS per passare da HTTP a HTTPS, è fondamentalmente quella di garantire la protezione di dati, transazioni e comunicazioni con i nostri clienti.

Dati alla mano, Magento sta diventando gradualmente il “WordPress” dell’e-commerce. Questo significa che così come WordPress sta diventando il principale bersaglio di hacker grazie alla sua enorme diffusione e popolarità, anche Magento vede un intensificarsi di problemi in questo senso. Ovviamente la sicurezza totale non è una certezza. Ma le comunicazioni crittografate possono aumentare il livello di sicurezza del nostro e-commerce Magento.

Magento Https che certificato acquistare?

La risposta non è semplice. Sicuramente la scelta è vincolata a diversi elementi in campo ed è da compiere con il proprio consulente o sviluppatore Magento.

Alcuni dei fattori da valutare potrebbero essere:

  • dimensione dell’ecommerce, intesa come volume d’affari
  • porporzionalità dell’investimento dedicato al commercio online
  • dominio singolo o multi-dominio
  • compatibilità dei browser
  • compatibilità mobile

Per grandi linee i certificati si dividono in Standard SSL (per piccoli volumi d’affari) – Wildcard SSL (medio volume d’affari) – EV SSL (grossi volumi d’affare)

Magento Https come installare il certificato?

Questo può dipendere dalla soluzione server che utilizzate e dal certificato che avete acquistato. Solitamente in situazioni di Hosting condiviso il certificato viene installato dallo staff tecnico del fornitore di Hosting. In situazioni di server dedicato o VPS avrete comunque come riferimento il sistemista o lo sviluppatore. In ogni caso il certificato richiede l’ip fisso.

Magento Https configurazione backend

Dopo aver acquistato ed installato il certificato TLS è possibile attivare nel backend di Magento le funzionalità HTTPS

Andiamo nel backend di Magento:

configurazione magento tls ssl backend

Ora andiamo in configuration -> web

ms2

Ora dobbiamo attivare HTTPS nel pannello secure:

Utilizza Secure URLs nel Frontend: YES
Utilizza Secure URL in Admin: YES

e salvare la configurazione

ms3

A questo punto le “aree” di Magento dedicate allo scambio di dati fra server e client, quindi registrazione utente, checkout, il vostro backend, ecc saranno protette e presentate con protocollo  HTTPS.

Ora potreste scegliere di estendere l’HTTPS a tutto il sito, questo potrebbe esporvi a qualche problema relativo ai vari plugin utilizzati, dipende soprattutto da quanto è stato customizzato il vostro Magento.

Ora basterà andare in .htaccess ed inserire:

Ad esempio nell’ultimo Magento 1.9.2.3 su cui ho attivato HTTPS per tutto il sito, attraverso questa procedura, ho avuto qualche problema sui prodotti configurabili. In fase di acquisto dopo aver selezionato gli attributi non venivano trasmessi al carrello. Inoltre il plugin Creare Seo creava dei problemi di redirect su alcuni link.

Per risolvere è bastato inserire https:// nel Base URL del pannello UNSECURE in Configuration -> WEB

Julian Assange:”Internet presto diventerà uno strumento di oppressione”.

Julian Assange, diritti umani, privacy e sorveglianza.

Julian Assange

Julian Assange, collegato in video conferenza al NY Personal Democracy Forum, parla di un futuro orwelliano in cui internet potrebbe essere utilizzata come strumento di oppressione e controllo. Parla di DNA preso alla nascita, codificato e associato ad un ID personale presente sui documenti di identità, fiscali e per accedere al credito bancario.

Il Personal Democracy Forum tenuto ogni anno a New York si occupa di analizzare come Internet cambiata o influenza la politica e la democrazia. Il fondatore di WikiLeaks Julian Assange e Mishi Choudhary (direttore esecutivo del Software Freedom Law Center) affermano che questa generazione probabilmente sarà l’ultima ad avere la possibilità di fare una scelta  “lasciare che Internet possa continuare ad essere uno strumento per imparare e comunicare o permettere a pochi di trasformarla in uno strumento di repressione”.

Proprio a marzo Assange in un articolo prospettava un futuro tetro per le prossime generazioni, un mondo impregnato da un nuovo totalitarismo in cui NSA e GCHQ avranno presto la possibilità di monitorare e spiare in maniera capillare chiunque. La possibilità di spiare tutti è probabilmente già reale o al massimo lo sarà in pochi anni.

In Italia ad esempio Vodafone avverte della presenza di  una “rete di sorveglianza segreta per spiare le conversazioni”, con richieste di circa 600mila metadati. Il colosso inglese fa riferimento all’esistenza di un network che permette ad agenzie di sorveglianza di alcuni governi di ascoltare ed in alcuni casi di localizzare le posizioni. Un sistema largamente utilizzato in diversi paesi. L’Italia al momento non risulta fra questi.

Tutela della Privacy, utilizzo e gestione di dati personali e biologici,  devono essere posti al centro di un sistema che possa garantire l’essere umano e le sue libertà inviolabili.

WordPress attacchi Botnet nelle ultime ore

wordpress attacchi botnet

WordPress attacchi botnet ancora su server Usa

Un elevato numero di attacchi botnet sono partiti nella giornata di ieri 06 marzo 2014 con un picco di 40.000 attacchi al minuto, un numero nettamente superiore alla media di 2000 al minuto.

La natura dell’attacco è una grande rete botnet che sta generando un enorme numero di tentativi di login sui siti wordpress. Quanti hanno installato il plugin wordefence hanno ricevuto l’allerta via mail.

Gli attacchi botnet generano un problema di saturazione della banda, ma possono creare problemi ben più gravi se le credenziali d’accesso sono deboli.

attacchi botnet wordpress come difendersi

Cosa fare per proteggere wordpress? Come proteggere wordpress? Come proteggere l’admin di wordpress?

Due plugin per la sicurezza utili per il monitoraggio di eventuali falle nel vostro WordPress sono:

  • plugin Wordefence (attraverso wordefence è possibile bloccare l’accesso amministrativo dopo un tot numero accessi falliti, evitando altre incursioni malevole limitandone nuovi tentativi)
  • plugin Acunetix WP Security

Sicuramente validi perchè allertano sulle falle eventuali di WordPress e sugli aggiornamenti da fare, ma una delle operazioni più utili potrebbe essere quella di dotarsi di una password di amministrazione robusta creata magari con un generatore di password complesse.

Un’altra operazione molto utile da effettuare è quella di proteggere la propria area amministrativa a livello server con:

  • .htaccess
  • .htpasswd

purtroppo su moltissimi siti web realizzati con WordPress, l’accesso protetto con .htaccess manca, spesso ritenuto superfluo o addirittura inutile, ma è sicuramente una barriera in più a protezione dell’area amministrativa.

Rinominare il prefisso delle tabelle wp_ su MySql. Questa operazione potrebbe avvenire in automatico se WordPress viene installato da applicazioni presenti sui server, ma è sempre meglio verificare.

Eliminare tutti i plugin e temi inutilizzati.

Firefox Zero-Day Exploit usato dal FBI per buttare giù una rete pedo-pornografica su un Hosting presente su Tor Network compromesso Tor mail

fbi

 

Irraggiungibile ormai da giorni il servizio mail/smtp/pop offerto da Tor Mail, solo oggi viene diffusa la notizia su thehackernews.com che grazie ad un Expliot “zero-day” attraverso una vulnerabilità di Firefox 17 l’FBI è riuscita ad identificare una rete di Hosting dedito alla diffusione di materiale pedo-pornografico presente su Tor Network.

Read More