Contattaci: 348 2658584 | info@promuovo.it

Aspetto sicurezza di un cms
Si sà che l'occasione rende l'uomo ladro e perciò la prima sicurezza risiede nel non fornire l'occasione o renderla sicuramente difficile da raggiungere.

In questi giorni sul mio sito vedo molti tentativi di ricerca falle di sicurezza, molti provando percorsi di wordpress o di fckeditor.

Il cms opensource è molto comodo e ha molti vantaggi: tra i quali l'essere sviluppato da un vasto team di sviluppatori che probabilmente nessuna azienda potrà mai permettersi a lungo termine, ma ha sicuramente un difetto: la struttura del software è pubblica (chiaramente).

Chiunque può scaricarsi un cms come wordpress o joomla, cercarne le possibili vulnerabilità e poi provare a penetrare nei siti web attraverso queste possibili falle.
La complicità degli utenti, i quali molto spesso non modificano alcunchè di base (per paura che poi qualcosa non funzioni) e che non tengono aggiornato il cms con gli aggiornamenti che le community rilasciano periodicamente, farà poi il resto.

E non pensate che il tale che provi a penetrare sia un geniaccio dell'informatica, perchè spesso sono proprio le community quando rilasciano le versioni aggiornate del prodotto che descrivono la patch adottata per coprire il bug che si era manifestato. A questo punto anche chi non ha grandi capacità può provare a "sfondare" qualche sito web semplicemente provando i percorsi standard dei files incriminati che non sono stati aggiornati dai proprietari dei sitiweb, i quali molto spesso si affidano in toto a qualcuno perchè gli realizzi il sito e poi stop, di aggiornamento se ne riparlerà la prossima volta che il sito dovrà essere rifatto, magari dopo 3 o 4 anni.

Forse è anche per questo (oltre al fatto che progetto e ralizzo cms dal 2001) che rimango fedele al non rilascio del codice sorgente, proprio perchè la prima sicurezza stà nel non rendere pubblico il codice di esecuzione.

Se utilizzate cms opensource vi consiglio caldamente di eseguire tutte le patch di sicurezza rilasciate, e se non siete in grado di farlo da soli, pagate qualcuno che sappia farlo al posto vostro. E' il minimo.