Di Matteo Carli
Wordpress (da qui in poi abbreviato in WP) è la piattaforma di blogging più famosa e di moda del momento.
Ruotando tutto intorno ad una comunità OpenSource si riescono a trovare facilmente temi e plugin gratuiti per tutte le esigenze. Il codice di WP stesso nell'ultimo anno è stato migliorato molto, sia dal punto di vista sicurezza sia da quello prestazionale.
Purtroppo però WordPress non brilla in quanto a sicurezza: nella versione 2.x dall'inizio del 2007 sono state segnalate 15 vulnerabiltà tra cui alcune molto serie.
Capita spesso che utenti con scarse conoscenze informatiche installino da soli WP sul proprio hosting.
Per disinformazione a riguardo di patch rilasciate dal team di sviluppo oppure per paura che una nuova versione non funzioni con qualche strano plugin, reperito chissà dove, continuano ad utilizzare vecchie versioni. La situazione non è molto rosea nemmeno nel panorama Italiano, molti dei blog più famosi utilizzano una versione di WP con vulnerabilità di sicurezza conosciute.
Non è solo WP stesso a soffrire di problemi di sicurezza, anche all'interno dei temi molte volte si nascondono insidie invisibili. L'utilizzo incodizionato della variabile superglobale $PHP_SELF o dell'output della query di ricerca senza aver fatto la conversione dei caratteri speciali nelle rispettive entità HTML portano a vulnerabilità di tipo XSS (Cross-Site Scripting).
Anche per i pluging è importante tenere costantemente sotto controllo l'uscita di path o nuove versioni.
David Kierznowski, un ricercatore in sicurezza informatica, ha scritto wp-scanner, un tool che automatizza i controlli di sicurezza che qualsiasi blog, basato su WP, dovrebbe passare. Il tool fornisce informazioni su:
• versione di WP installata (per ora ottenuta grazie agli header di versioni forniti da WP stesso)
• test per le vulnerabilità più comuni presenti nei temi
• enumerazione dei plugin installati (per ora la lista è abbastanza limitata)
Da qualche giorno è stata rilasciata anche una versione online di wp-scanner, più aggiornata rispetto alla controparte stand-alone.
Consiglio a tutte le persone che posseggono un blog basato su piattaforma WordPress di controllarlo tramite questo tool e di leggersi la guida "Hardening Wordpress ".
Vi ricordo che, nel momento che sto scrivendo, l'ultima versione disponibile della famiglia 2.x è la 2.2.1.
Attenzione perchè la famiglia 2.1 non verrà più aggiornata.
Regali di Natale: le custodie in pelle e alluminio di Proporta per iPod nano e iPod Touch
Women@Internet Show: donne e web si incontrano al teatro
Con iBreviary la preghiera va su iPhone: l'applicazione di don Paolo fa il giro del web eBay, troppi costi e pericolo truffe: alla ricerca della aste alternative
Java IDE Day 2008, per la prima volta in Italia
Italia-Programmi.net truffa: non pagate, ecco la lettera che vi arriva a casa
Italia-Programmi.net truffa: prosegue l'invio di mail per spaventare gli utenti
La blogosfera si è liberata di Chiara Ferragni: tre gradi di separazione
Airbnb, uno dei migliori servizi per affittare una casa in vacanza
Renzo Bossi Laurea: con il sito Trota e Lode c'è una laurea web per tuttiBlogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
