Sicurezza per chi fa sicurezza

Chi era presente all’ESC durante la presentazione di “GoogleTistic e WordPressTistic: le statistiche che nessuno avrebbe mai voluto mostrarvi” sicuramente si ricorderà come le installazioni di WordPress nella blogosfera italiana non siano sicure e ancor meno aggiornate a versioni recenti.
Ovvio che il problema non è solo sulla blogosfera italiana, ma su quella mondiale.

Può capitare, anche se non dovrebbe, che utenti non troppo esperti non aggiornino la propria piattaforma per paura che un plug-in o l’intero blog smetta di funzionare. Nessuna scusante è data però agli addetti ai lavori.
Anche se esiste il detto “Il calzolaio ha le scarpe rotte” chi si occupa di Web a tempo pieno o ancor peggio di sicurezza non si può permettere la compromissione della propria piattaforma.

Vedere blog di sicurezza informatica con versioni di WordPress di un anno fa non è una bella sensazione, figuriamoci a vederli compromessi: la scorsa settimana LightBlueTouchpaper, noto blog del Security Group dell’Università di Cambridge, ha ammesso senza troppi problemi che:

Regular readers may have noticed that Light Blue Touchpaper was down most of today. This was due to the blog being compromised through several WordPress vulnerabilities.

Ieri è successa una cosa simile, annunciata da tempo da LHM (si vedano i commenti nel suo tool per antiblogging): il blog di SecuriTeam è stato compromesso.
SecuriTeam Blog compromised

Sono stati inseriti link che portano ad un blog (WordPress 2.0.2), ospitato su un sottodominio dell’Università del Michigan, il quale a sua volta è stato compromesso ed usato per ospitare pagine che effettuano redirect verso domini di casinò on-line. Per eludere li spider che passeranno da quelle pagine è stato inserito un testo con alcune keywords e il redirect viene fatto con del codice JS offuscato.

E’ troppo facile gestire un blog pensando solo a scrivere e tralasciando la sua sicurezza in quanto, presunta, roba da ragazzini (in tutti questi casi si tratta di vulnerabilità conosciute e risolte).
Dal punto di vista degli sviluppatori non sarebbe il caso di pensare a rilasci meno frettolosi e a maggiore testing di WordPress visto il bacino di utenza che ha?
Ad ognuno le proprie conclusioni.

 

Un Commento a 'Sicurezza per chi fa sicurezza'

Segui i commenti sottoscrivendo il feed RSS oppure TrackBack a 'Sicurezza per chi fa sicurezza'.

  1. Sono episodi di cattivo esempio che invitano a riflettere. Riguardo al lavoro degli sviluppatori di WP ho come l’impressione che ci si dedichi sempre più ad integrare nuove funzioni tralasciando l’argomento sicurezza. Ok, in passato abbiamo assistito a nuovi rilasci di WP esclusivamente per la sicurezza ma questo è accaduto solo quando il bug è stato ritenuto altamente critico. Per il resto gli aggiornamenti di sicurezza vengono rilasciati in concomitanza con le nuove funzioni, senza alcuna priorità.

    In sintesi, un nuovo plugin integrato nella piattaforma e un aggiornamento di sicurezza giacciono sullo stesso piano.

:: Trackbacks/Pingbacks ::

Nessun Trackbacks/Pingbacks

Lascia un Commento